NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior


Nuevas variantes del W32/Lovsan.worm y de otros virus que aprovechan la misma vulnerabilidad y actúan sobre el SVCHOST.EXE: W32/Raleka.worm y W32/Nachi.worm

 

Como ya indicamos en nuestro anterior comunicado al respecto del W32/Lovsan.worm, alias Blaster, la infección de este virus ha sido masiva en todo el mundo, debido a la vulnerabilidad de los sistemas operativos Windows con tecnología NT o sea Windows NT, 2000, 2003 y XP.

Este virus del cual hasta ahora conocíamos 4 variantes, A, B, C y D, han aparecido recientemente dos más, la E y la F, todas ellas infectando a través de la indicada vulnerabilidad (Boletín de Microsoft MS-03-026), así como paralelamente y muchas veces simultáneamente, ha habido dos gusanos mas que se han introducido aprovechando el mismo agujero: El W32/Raleka.worm y el W32/Nachi.worm, ambos utilizadores del fichero SVCHOST32.EXE, que es el lanzador de procesos en Windows XP y 2000, pero que en el caso del W32/Raleka.worm se convierte en un Backdoor de IRC, que queda a la escucha tras el reinicio de una máquina infectada con dicho virus.

SATINFO ofreció inicialmente la utilidad ELILOVSA 1.1 para el control y eliminación de las 4 primeras variantes conocidas en su momento del W32/LOVSAN, pero tras la aparición de una nueva variante (la E), y del conocimiento de que el SVCHOST32.EXE no era tocado por el W32/Lovsan.worm sino por otro que aprovechaba la misma vulnerabilidad (llamado W32/Raleka.worm), se desarrolló una nueva versión de ELILOVSA (v. 2.3) que contempla dichos gusanos, eliminando claves y fichero del directorio de sistema infectado.

Información de NAI sobre el W32/Lovsan.worm.e

Información de NAI sobre el W32/Raleka.worm

Por último hasta el momento, se ha descubierto una nueva variante del W32/Lovsan.worm (la F), y que el W32/Raleka.worm crea también el fichero SVCHOST en el directorio SYSTEM (no el de sistema SYSTEM32)

Otro virus el W32/Nachi.worm, también altera el indicado SVCHOST.EXE, y para sistemas operativos en ingles aplica los parches MS03-026 de Microsoft, mientras que en castellano no.

Con todo ello se ha realizado la utilidad ELILOVSA.EXE v1.2 que controla y elimina las 6 variantes hasta ahora conocidas del W32/Lovsan.worm, el gusano W32/Raleka.worm (SVCHOST de 15 Kb), e igualmente el gusano W32/Nachi.worm (SVCHOST de 19 Kb), además de detectar e informar si los ordenadores con XP y 2000 tienen aplicado ya el parche MS03-026 en cuestión.

Información de NAI sobre el W32/Lovsan.worm.f

Información de NAI sobre el W32/Nachi.worm

Se recuerda que el SVCHOST32.EXE del XP mide 12.8 Kb, y el del Windows 2000 unos 8 Kb. La presencia de un SVCHOST32 de más de 14 Kb en los equipos indica que corresponden a los gusanos indicados.

Para descargar la última versión de la utilidad ELILOVSA.EXE pulse aquí

 

SATINFO, VIRUSCAN SPAIN SERVICE 4 de Septiembre de 2003

Anterior