SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
NUEVO VIRUS DE MESSENGER QUE LLEGA DE UN CONTACTO QUE ENVIA UN SUPUESTO “MINIJUEGO”
Nombre de
virus: -
Riesgo Infección: Medio (Bajo, Medio,
Alto, Muy Alto)
Propagación: por correo Messenger
Activación: Por ejecución de fichero
Detección: DAT -
Motor necesario: -
Infección actual: Inicial (Inicial, Media,
Elevada)
Se ha recibido la incidencia de varios usuarios que a través del Messenger han recibido un “regalito” del contacto con el que estaban chateando, cerrándose en aquel momento la ventana y mostrando el siguiente texto:
"mira este minijuego que esta wapiisimo:
Y como fichero llega un fichero GAME.ZIP , que analizado con los principales antivirus del momento, no parece tener virus:
ANÁLISIS CON 30 ANTIVIRUS ACTUALIZADOS, SEGÚN VIRUSTOTAL:
ESTADO: FINALIZADO. Este es el resultado completo de analizar el archivo "game.zip" que VirusTotal ha recibido el día 25.01.2007 a las 12:12:10 (CET).
AntiVir 7.3.0.26 25.01.2007 no ha encontrado virus
Authentium 4.93.8 24.01.2007 no ha encontrado virus
Avast 4.7.936.0 24.01.2007 no ha encontrado virus
AVG 386 24.01.2007 no ha encontrado virus
BitDefender 7.2 25.01.2007 no ha encontrado virus
CAT-QuickHeal 9.00 25.01.2007 no ha encontrado virus
ClamAV devel-20060426 25.01.2007 no ha encontrado virus
DrWeb 4.33 25.01.2007 no ha encontrado virus
eSafe 7.0.14.0 24.01.2007 no ha encontrado virus
eTrust-InoculateIT 23.73.123 25.01.2007 no ha encontrado virus
eTrust-Vet 30.3.3349 25.01.2007 no ha encontrado virus
Ewido 4.0 24.01.2007 no ha encontrado virus
Fortinet 2.85.0.0 24.01.2007 no ha encontrado virus
F-Prot 3.16f 23.01.2007 no ha encontrado virus
F-Prot4 4.2.1.29 23.01.2007 no ha encontrado virus
Ikarus T3.1.0.27 25.01.2007 no ha encontrado virus
Kaspersky 4.0.2.24 25.01.2007 no ha encontrado virus
McAfee 4948 24.01.2007 no ha encontrado virus
Microsoft 1.1904 25.01.2007 no ha encontrado virus
NOD32v2 2004 24.01.2007 no ha encontrado virus
Norman 5.80.02 25.01.2007 no ha encontrado virus
Panda 9.0.0.4 25.01.2007 no ha encontrado virus
Prevx1 V2 25.01.2007 no ha encontrado virus
Sophos 4.13.0 24.01.2007 no ha encontrado virus
Sunbelt 2.2.907.0 22.01.2007 no ha encontrado virus
TheHacker 6.0.3.156 25.01.2007 no ha encontrado virus
UNA 1.83 24.01.2007 no ha encontrado virus
VBA32 3.11.2 24.01.2007 no ha encontrado virus
VirusBuster 4.3.19:9 24.01.2007 no ha encontrado virus
Información adicional
Tamaño archivo: 13315 bytes
MD5: bcfecdc0afb10d5b22f5550e10828b5e
SHA1: e2a9a9c5de8ab109dd4a0c48190a9f804eaa2e6f
Síntomas de infección
Las consecuencias son las de quedar infectado de manera que se envía dicho mensaje con el virus a todos los contactos, además de quedar modificado el fichero HOSTS impidiendo ir a las webs de las siguientes firmas antivirus:
127.0.0.1 www.ca.com
127.0.0.1 download.mcafee.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 www.f-secure.com
127-0-0-1www.kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate symantecliveupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.avp.com
127.0.0.1 www.symantec.com
127.0.0.1 www.vsantivirus.com
127.0.0.1 www.rzw.com.ar
Con ello se impide el acceso a todas estas webs de las principales firmas de antivirus mundiales, para poder consultar o actualizar el antivirus y evitar así detectarlo y eliminarlo
Al ejecutarlo, se autocopia con el nombre de MSNMSENG.EXE y crea en el registro claves para ejecutarse en el próximo reinicio.
Crea dos ficheros BAT que ejecuta en una ventana al DOS,
C:\win.bat
C:\winlog.bat
y un fichero READ.TXT que dice:
Gusano by Be***, digo por ****** from to Spain
Por lo que se considera de fabricación española, y de hecho los primeros afectados lo han sido de la zona centro de España
Detección y eliminación
Hemos sido los primeros en detectarlo, controlarlo y eliminarlo con nuestra utilidad ELISTARA desde la v 13.18 que ya está disponible en nuestra web, www.satinfo.es si bien hemos enviado muestra a McAfee para que lo añadan en los próximos DAT
Como sea que no lo controla aún ningún antivirus, es fácil la propagación si el usuario no toma precauciones, que es bien fácil, simplemente si reciben por MSN el indicado “minijuego”, que NO JUEGUEN !!!
Para su
eliminación se recomienda descargar y ejecutar nuestra utilidad
EliStarA
SATINFO, VIRUSCAN SPAIN SERVICE 25 de Enero de 2007