|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
NUEVA VARIANTE PAK DEL VIRUS W32/Explorezip.worm
Nombre de virus: W32/Explorezip.worm.pak
Alias conocidos: zipped_files, Minizip
Riesgo: Muy Alto ( Bajo, Alto, Muy Alto)
Activación: Sobreescribe ficheros a cero bytes y los borra
Propagación: Por envio de worm (gusano a través de MAPI)
Detección: VIRUSCAN Desde 4054 o EXTRA.DAT
Motor necesario: Engine 4025 o superior
Infección actual: Media (Inicial, Media, Elevada)
Una nueva variante, con los mismos efectos que el virus original, pero mas dificil de detectar al estar compactado con nueva tecnología de compresión (Neolite), se está propagando muy rapidamente, y , al igual que el original, infecta por ejecutar el Zipped_files.exe, que va anexado a un e-mail de respuesta (reply), en la que se indica que se miren los ficheros doc incluidos en un .exe anexo (infectado con dicho virus).
Sus efectos son la pérdida irrecuperable (sobreescribe con ficheros de 0 bytes y luego los borra) de ficheros con extensión .c, .cpp, .asm, .doc, .xls y .ppt, además de generar un Explore.exe y modificar el Win.INI (y el registro de sistema en NT), con la carga de dicho virus y así propagarlo a través de aplicaciones que usen comandos MAPI, como MS Outlook, MS Outlook Express, MS Exchange y Netscape Mail.
Si se detecta a tiempo el fichero Zipped_files.exe, debe borrarse inmediatamente, sin ejecutarlo, evitando así ser infectado y propagar el virus por la Red, además de lograr que no actúe borrando ficheros.
En el caso de sistemas NT workstation o NT server, debe actualizarse el motor a engine >4.02, bajando y ejecutando el último SUPERDAT existente en nuestra web, con lo que se dispondrá de engine suficiente para que, con el último EXTRA.DAT ya enviado (de 6830 bytes), controle todos los virus conocidos hasta la fecha, incluyendo esta nueva variante del nuevo W32/Explorezip.worm.pak (Se vuelve a enviar anexo el mismo extra.dat)
En los equipos con WINDOWS 95 y 98 que ya disponen de engine 4.0.25, es suficiente tener copiado dicho EXTRA.DAT enviado con la información del PRILISSA, para poder controlar esta nueva y peligrosa variante.
Cabe notar que en WINDOWS 95/98 modifica el WIN.INI para ejecutar el virus cada vez que arranca WINDOWS, y que en NT modifica además el registro de sistema.
SATINFO, VIRUSCAN SPAIN SERVICE