NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior


Otro virus de macro con propagación tipo Melissa y formateo en W95/98

Nombre de virus:    W97M/Cybernet@mm

Alias conocidos:     Cybernet-A

Riesgo Infección:    Alto     ( Bajo. Alto, Muy Alto)

Activación:               Envía mails a listas Outlook y formatea 17/8, 25/12

Propagación:            Por apertura fichero infectado anexado al e-mail

Detección:                VIRUSCAN  Desde 4080

Motor necesario:      Engine 4.0.50 o superior

Infección actual:        Inicial    (Inicial, Media, Elevada)
 

Un nuevo virus de macro tipo Melissa que es detectado con DATS4080 existentes en nuestra web, y engine mínimo 4.0.50, tiene prevista fácil  propagación a través del Outlook y dos fechas de activación, el 17 de Agosto y el 25 de Diciembre, en las que cambia el AUTOEXEC.BAT y el CONFIG.SYS, para que formatee el disco duro en el siguiente rearranque. El fichero Config.sys lo modifica para evitar que el usuario pueda cortar el proceso del formateo con Ctrl Break, y en el Autoexec existe la instrucción de formateo del disco C:. En Windows NT, al no utilizar el Autoexec.bat en el arranque, no tiene efectos secundarios.

El virus en cuestión pretende evitar el escaneo heurístico, y a tal efecto lo indica en dos líneas del código, pero desde los DATS 4071 y motor
4.0.70 ya se detecta con la opción /manalyze  como New W97M.

El virus se autoenvía a las primeras 50 direcciones del Outlook, si bien primero mira si en el registro de sistema hay su marca, En caso de que no exista es cuando efectúa el envío, pero si ya existe es que ya las ha enviado, y no repite la acción. El formato del mensaje es el siguiente:

Asunto : You’ve GOT mail  !!!
Cuerpo : Please, saved the document after you read and don’t
show to anyone else. The document is also VIRUS FREE... so DISREGARD the virus protection warning !!!
Anexado: “documento infectado”.DOC

Por supuesto que la protección del Word avisando de  la existencia de macros en la apertura de los documentos, detectará las macros dentro de los ficheros infectados, pero recuerdese que la mayoría de los virus la desactivan. Aconsejamos revisar que tengan activa dicha protección.
y actualicen el Outlook con el último email attachment security update  de Microsoft, para evitar la propagación de este tipo de virus
 
 
 

SATINFO, VIRUSCAN SPAIN SERVICE                          L.1-6-00
 
 

SATINFO, VIRUSCAN SPAIN SERVICE

Anterior