Nombre de virus: V32/GIBE @ mm
Alias conocidos: WORM_GIBE.A
Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)
Activación: Crea 8 ficheros en HDD, Modifica claves registro, abre port 12378
Propagación: Por envío e-mails infectados a direcciones capturadas (falla listas Outlook)
Detección: DATS 4189
Motor necesario: 4.1.50
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de un nuevo método de intentar engañar a los usuarios, haciéndose pasar por un parche de Microsoft para subsanar una vulnerabilidad del Internet Explorer, ahora que tanto se han hecho necesarios dichos parches para que la lectura de un e-mail no provoque la ejecución del fichero anexado, lo cual ocurre en los virus más activos actualmente, como el KLEZ, el NIMDA. el BADTRANS, etc.

Al respecto recordamos que Microsoft indicó, ya hace tiempo que, para evitar posibles usurpaciones de personalidad en el envío de e-mails, los parches y otras utilidades no los enviarían por e-mail sino depositándolos en su web, de donde los usuarios interesados los podían descargar.

La ejecución del fichero Q216309.EXE, anexado al e-mail, abre una ventana preguntando si se quiere instalar o no el falso parche, pero tanto si se contesta afirmativa como negativamente, el virus prosigue su ejecución, creando ficheros que luego utilizará, cargando su ejecución en el registro de sistema.

A través de la ejecución de uno de ellos, el WINNETW.EXE, captura todas las direcciones de correo que tenga el ordenador y las guarda en un fichero que llama 02_N803.DAT, que utilizará para enviar los mails, pues falla en el envío a través de listas de Outlook.

Otro fichero, el GFXACC.EXE lo usa para abrir el port 12378 del ordenador infectado, y envía información al autor del virus. Se controla desde DATS 4189 y engine 4.1.50

SATINFO, VIRUSCAN SPAIN SERVICE 12 de Marzo de 2002

Anterior