NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior


Novísimo triple virus (worm, virus, backdoor) ya detectado en España:

Nombre de virus: W32/MTX@mm

Alias conocidos: I-worm.MTX

Riesgo Infección:Alto   (Bajo, Alto, Muy Alto)

Activación: Abre puerta trasera y autoenvia mails como Happy99

Propagación: Por envio masivo de mails con nombre predeterminado

Detección: Desde DATS 4093, eliminación desde DATS 4094

Motor necesario: Engine 4.0.70 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Un novísimo virus que se autopropaga a través de Internet ha sido detectado al recibir, el destinatario de un e-mail, dos e-mails en lugar de uno sólo, lo cual ha despertado sospechas y una vez actualizado el antivirus con versión 4094, ha podido ser identificado como W32/MTX

Sus especiales características hacen temer propagación elevada, dado que un 70 % de los ficheros adjuntos al e-mail que envía, son PIF, (además de SCR y EXE), extensión que no es analizada por el actual antivirus residente, salvo que se añada a la lista de las controladas por el Vshield o GroupShield, a no ser que se tenga control sobre todas las extensiones, lo cual no se acostumbra usar por ralentizar el ordenador.

Se trata de un virus de 32 bits infector de ficheros PE (portable-ejecut.)  para sistemas Windows 9x/NT, que modifica WSOCK32.DLL como el antiguo Happy99 (SKA), para enviar dos e-mails (uno con el virus), por cada e-mail que se envía. Además busca ficheros PE (EXE y DLL) en las carpetas de Windows (incluyendo unidades mapeadas) y los infecta.

Cuando entra, crea el fichero WSOCK32.MTX dentro del directorio de sistema de windows y otros 4, IE_PACK.EXE, MTX_.EXE, WIN32.DLL y WININIT.INI en el directorio base de windows.

En el segundo e-mail que envía, anexa un fichero EXE, PIF o SCR, que resulta estar infectado con el MTX. y cuyo nombre coge al azar de una lista que contiene el virus, de entre unos 30 nombres predeterminados.

Se controla totalmente desde DATS 4094, ya disponibles en nuestra web. Puede bajar los últimos DAT desde la página principal de nuestra web www.satinfo.es, guardar como DATS4.ZIP en C:\DATS y ejecutar la tarea AUTOUPDATE, o  bajar de nuestra web  www.satinfo.es el fichero SDAT4094 o posterior, y ejecutarlo. Para actualizar NT o W2000, aconsejamos ejecutar el SDAT4094.exe en cuestión, para asegurar la correcta actualización.
 
 

SATINFO, VIRUSCAN SPAIN SERVICE                         L.8-9-00
 
 

Anterior