SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Nuevo virus worm con autoenvio a través de Outlook y Chat
Nombre de virus: IRC/Stages.worm
Alias conocidos: VBS/LifeStages, I-worm.Scrapworm,
Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: Se propaga a todas las unidades compartidas
Propagación: Por autoenvio de worm a través de Outlook y Chat
Detección: Desde DATS 4082
Motor necesario: Engine 4.0.50 o superior
Infección actual: Inicial (Inicial, Media, Elevada)
Un nuevo worm ha sido detectado en España, Se recibe en un aparente fichero .TXT anexado a un e-mail de un conocido, debido a su automático reenvío a través de las direcciones del Outlook. Realmente el fichero es un SHS, formato de Microsoft que permite empaquetar objetos (SHell Scrap objet file), pudiendo ser, como en este caso, un script de Visual Basic.
Tiene una longitud de 39.936 bytes, y el nombre completo del fichero infectado anexado al e-mail es “LIFE_STAGES.TXT.SHS”, si bien la extensión SHS no es visualizada aunque se tenga el Windows programado para ver las extensiones, por ser una característica de los ficheros SHS, el mantener oculta su extensión.
Si se quiere evitar este ocultamiento de
extensión, puede modificarse la clave HKCR/ShellScrap/NeverShowExt del registro de
sistema, por la de
HKCR/ShellScrap/AlwaysShowExt.
No tiene efectos malignos y los efectos inmediatos son la pérdida del fichero REGEDIT.EXE, que lo envía a la papelera de reciclaje, y el autoenvío de emails con el virus. Además modifica varias claves del registro de sistema y se propaga a todas las unidades de red mapeadas, así como también se distribuye por Chat si se usa el mIRC o/y PIRCH.
Para controlarlo cabe simplemente actualizar a la versión de DATS 4082 existente en nuestra web, bien a través del fichero ZIP y proceder con el autoupdate, o bien bajando el fichero SDAT4082.exe y ejecutárlo.
La extensión SHS ya está controlada por defecto por el SCAN y VSHIELD de Windows, pero para controlarlo desde DOS, se debe hacer con /ALL
Para quien ya esté infectado, facilitamos la herramienta específica STAGECLN.EXE, con la que, restaurar el Regedit.exe, eliminar claves del registro de sistema implantadas por este virus, y eliminar los ficheros víricos , y, en definitiva, restaurar la normalidad al ordenador. Desde una ventana del DOS ejecutar STAGECLN /CLEAN
Pulse aqui
para descargar el fichero KILLSTAG.ZIP
SATINFO, VIRUSCAN SPAIN
SERVICE
L.20-6-00
SATINFO, VIRUSCAN SPAIN SERVICE
