NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nuevo gusano bot de IRC que aprovecha vulnerabilidad de Microsoft MS05-039 y provoca reinicio continuado del sistema

 

Nombre de virus: W32/IRCbot.worm!MS05-039
Alias conocidos: W32.Zotob.E, W32/Tpbot-A, WORM_RBOT.CBQ
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Aprovecha vulnerabilidad MS05-039
Detección: desde DATS 4560
Motor necesario: desde 4.4.00
Infección actual: Media (Inicial, Media, Elevada)

W32/IRCbot.worm!MS05-039 es un gusano bot de Internet Relay Chat (IRC), que propaga por sistemas que todavía no han sido parcheados para corregir la vulnerabilidad de Microsoft MS05-039

El gusano ha sido diseñado para contactar con un servidor IRC remoto y esperar instrucciones.

 

Instalación del gusano

Cuando se ejecuta el código infector, el virus hace una copia de sí mismo en el directorio de sistema de Windows (p.e. C:\Windows\System32\ en Windows XP) con el nombre de WINTBP.EXE. El fichero puede ser ejecutado automáticamente explotando la vulnerabilidad MS05-039 o bien ser lanzado manualmente.

Crea la siguiente clave de registro para provocar la carga del gusano al inicio del sistema:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run "wintbp.exe" = wintbp.exe

 

Método de infección

El código del gusano escanea en busca de sistemas donde pueda explotar MS05-039. Cuando encuentra un sistema vulnerable, utiliza un desbordamiento de búfer para copiar el gusano a la máquina via un upload TFTP en puerto 8594.

 

Síntomas

Si este gusano se ejecuta en un sistema que todavía no ha sido parcheado para la vulnerabilidad MS05-039, el equipo se reiniciará contínuamente.

 

Detección y eliminación

El gusano se controla desde los DAT 4560. Insistimos encarecidamente en la necesidad de aplicar todos los parches críticos de Microsoft.

Recomendamos el uso de Windows Update para mantener el equipo al día con los últimos parches de seguridad:

1. Puede acceder a Windows Update a través de su navegador Ms Internet Explorer, menú Herramientas, pulsando click sobre Windows Update.

2. En la página principal de Windows Update, haga clic en Buscar Actualizaciones.

Notas:

  • También puede abrir Windows Update, haciendo clic en Inicio y, después, en Windows Update.
  • Para utilizar Windows Update, necesitará establecer una conexión a Internet.

 

SATINFO, VIRUSCAN SPAIN SERVICE 1 de Septiembre de 2005

Anterior