NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

Nuevo Gusano de correo electrónico que adjunta fichero con extensión .CPL

Nombre de virus: W32/Duni.worm
Alias conocidos:
WORM_DANDI.A
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)

Activación: Por ejecución de fichero adjunto infectado
Propagación: Adjunto a un mensaje de correo electrónico y vía Kazaa
Detección: desde DATS 4210
Motor necesario: desde 4.1.50

Infección actual: Inicial (Inicial, Media, Elevada)

El gusano w32/Duni.worm se recibe reenviado como un fichero ejecutable con extensión .cpl (Control Panel Applet). Al ejecutarlo, se copia a la unidad de disco donde está instalado Windows. El nombre del fichero es un número aleatorio con extensión .cpl (p.e. 214365.cpl ó 435678.cpl).

Si está instalado el software Kazaa, crea varias copias de sí mismo en la carpeta compartida que aparece definida en la clave de registro HKEY_CURRENT_USER\Software\Kazaa\Transfer\DlDir0.

Utiliza diferentes nombres basados en software, películas, juegos o títulos pornográficos con extensión .cpl.

Como el gusano se ofrece a sí mismo a través de la red Kazaa, bajo nombres que pueden tentar la descarga al usuario, aquellos que no estén infectados pueden descargar y ejecutar w32/Duni.worm (que aparecerá con el nombre de alguna utilidad o fichero), de manera que propagaran nuevamente el gusano a través del mismo método.

Algunos ficheros tienen doble extensión (.mp3.cpl o .zip.cpl), por ejemplo: Crack_Delphi5and6.Zip{espacios en blanco}.cpl

donde {espacios en blanco}, es una área en blanco con la intención de engañar al usuario (que sólo visualizará la primera extensión).

 

w32/Duni.worm genera claves en el registro de sistema que llaman a copias del propio gusano dentro del directorio Windows, para autoejecutarse al reiniciar el equipo.

SATINFO dispone de una utilidad para sus asociados, ELIDUNI.EXE, que permite la eliminación de las claves anteriores.

La ejecución del gusano provoca un envío masivo por correo electrónico a todos los destinatarios de la libreta de direcciones de Windows, utilizando diferentes asuntos, cuerpos de mensaje y nombre de fichero adjunto.

 

w32/Duni.worm se controla con VirusScan desde los DAT y motor arriba indicados, disponibles en www.satinfo.es

 

SATINFO, VIRUSCAN SPAIN SERVICE 05 de Julio de 2002

Anterior