Propagación de nueva variante de w32/Nuwar empaquetada en RAR.

Nombre de virus: W32/Nuwar@MM!rar
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: por correo electrónico.
Activación: Por ejecución de fichero empaquetado en RAR 
Detección: desde DATS 5017  
Motor necesario:  5.1.00
Infección actual: Inicial (Inicial, Media, Elevada)

Se ha detectado la propagación vía spam de variantes de w32/Nuwar@MM que llegan por correo electrónico adjuntando un archivo RAR. La contraseña del archivo se encuentra en una imagen GIF adjunta al mensaje.

Características

La línea de asunto del mensaje puede incluir uno de los siguientes :

• Spyware Detected!
• Trojan Detected!
• Virus Alert!
• Virus Activity Detected!
• Warning!
• Worm Alert!
• Worm Detected!
• Worm Activity Detected!
  
   

El nombre del fichero GIF puede ser uno de los siguientes :

• AbuseNotice.gif
• AbuseReport.gif
• AutoComplaint.gif
• Complaint.gif
• Message.gif
• Notice.gif
• Report.gif
• UrgentNotice.gif
  
   

El nombre del archivos RAR puede ser uno de los siguientes :

• bugfix-####.rar
• hotfix-####.rar
• patch-####.rar
• removal-####.rar

(donde #### es un número aleatorio de cuatro o cinco dígitos)

El fichero ejecutable que extrae se detecta desde los DAT 4971 o superiores como Downloader-BAI.gen.d.


Este es un ejemplo de AutoComplaint.gif recibido como cuerpo de mensaje :

Síntomas

Al ejecutar el fichero empaquetado dentro del RAR, posiblemente debido a un bug en esta variante, visualizará el siguiente mensaje de error en algunas plataformas :

Propagación

Al igual que el resto de variantes de w32/Nuwar conocidas, se trata de un gusano mass mailing que utiliza su propio motor SMTP para enviarse a direcciones que recopila en el equipo infectado. 

Detección y eliminación

A partir de DATS 5017 y motor de exploración 5.1.00.

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA   26 de Abril de 2007

Anterior