NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nuevo gusano VBS con envío masivo de mails infectados vía Outlook

Nombre de virus: VBS/BleBla@mm

Alias conocidos: I-worm.BleBla, W32/Verona

Riesgo Infección:Alto   (Bajo, Alto, Muy Alto)

Activación: envía e-mails infectados a lista direcciones Outlook

Propagación: Por ejecución del HTML integrado en el mail

Detección: Desde DATS 4107

Motor necesario: Engine 4.0.70 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Se trata de un nuevo gusano escrito en Delphy y comprimido con UPX, que llega en formato HTML en un e-mail autoenviado por el virus, con cualquiera de los siguientes siete nombres:

Ble bla, bee          Sorry...            Matrix has you...       From shake-beer
I Love You            Hey you !        My picture

A pesar de que su apertura creará en el disco duro dos ficheros víricos que lleva anexado el e-mail (myromeo.exe y myjuliet.chm), estos no son detectables por estar codificados en el e-mail, no siendo visibles.

El código del HTML indica a Windows que salve los ficheros anexados en C:\Windows\Temp, y luego los ejecute desde este directorio.

El fichero MyRomeo.exe es una copia del HTML, conteniendo el formato del e-mail a enviar, e instrucciones al respecto, y el fichero Myjuliet.chm lee las direcciones de las libretas de direcciones de Windows (ficheros *.wab) que son utilizadas para autoenviar a dichos usuarios el virus, a través de servicios SMTP.

Los DATS 4107 están disponibles en nuestra web www.satinfo,es desde el jueves 23-XI-2000 y el SDAT4107 en castellano desde el viernes 24-XI-2000
Si ya disponen de engine 4.0.70 pueden bajar el fichero DAT4107.ZIP al directorio C:\DATS y proceder con el Autoupdate. Si el engine es inferior, conviene bajar el SDAT4107 y ejecutarlo. Tras ello y reiniciar ordenador, se verá que los DATS ya son 4107 y que el engine ya es el 4.1.10, aunque para este virus es suficiente el 4.0.70

NOTA: Para este virus es importante controlar extensiones HTML. Ver fichero ADDEXT13.EXE en el apartado de utilidades de nuestra web.
 
 

SATINFO, VIRUSCAN SPAIN SERVICE                        24-11-2000
 
 

Anterior