NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nuevo gusano con envio masivo vía Outlook y autoactualización

Nombre de virus: W32/Sonic.worm

Alias conocidos: I-worm.Sonic

Riesgo Infección: Alto   (Bajo, Alto, Muy Alto)

Activación: Se autoactualiza y envía mails a listas Outlook

Propagación: autoenvía ficheros GIRLS.EXE o LOVERS.EXE

Detección: Desde DATS 4104 (control genérico 7 variantes)

Motor necesario: Engine 4.0.70 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Es un gusano que se actualiza a la última versión del virus existente en una cuenta de Geocities.com, a la cual accede en cuanto se reinicia el Windows tras haber ejecutado el fichero infectado anexado al e-mail.

Dicho fichero normalmente llega con el nombre GIRLS.EXE, pero McAfee AVERT también lo ha recibido con el nombre de LOVERS.EXE, siendo ambos iguales. Con la ejecución de dichos ficheros se crea en C:\Windows\System el fiichero GDI32.EXE, y crea una clave en el Registro que llama a dicho fichero en cada reinicio de Windows:
 
HKLM\Sof..\Mic..\Win..\Cur..Ver..\Run\GDI=C:\Windows\System\GDI32.EXE

Nota: No confundir este fichero vírico GDI32.EXE con otros de nombre parecido los cuales sí que pueden existir en C:\Windows\System : GDI.EXE y GDI32.DLL

El sistema de propagación es mediante el envío de un e-mail de título “I’m your poison” (si bien otras fuentes indican “Choose your poison”), a todas las direcciones de la libreta del Outlook, sin contenido pero con fichero anexado.
 
Una vez se ha reiniciado Windows con la clave ejecutando el GDI32.EXE, el gusano lee de Internet el fichero “LASTVERSION.TXT”, el cual solo contiene dos dígitos ##, los cuales utiliza para bajar el fichero ##.zip, el cual no se trata de un verdadero ZIP sino de un programa que es decodificado por el GDI32 lo cual crea ficheros adicionales en el sistema, en función de la versión del virus

Si bien desde los DATS 4103 ya se controlaban algunas de las variantes de este virus, con los DATS 4104 ya se dispone de un controlador genérico que detecta todas las variantes aparecidas, por lo que se recomienda disponer de esta última versión, por lo menos, para controlar dicho virus. Si ya se tiene el engine 4.0.70 o superior, basta con bajar los DATS existentes en nuestra web www.satinfo.es, copiar el fichero ZIP en C:\DATS y proceder con Autoupdate.
Si el engine disponible en el ordenador es inferior al 4.0.70, conviene bajar el fichero Superdat (SDAT4111.EXE o superior)  y ejecutarlo.
 

SATINFO, VIRUSCAN SPAIN SERVICE                        21-12-2000
 


Anterior