SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Nuevos virus worm con autoenvio a través de la libreta del Outlook
Nombre de virus: VBS/Pica.A , .B, .C, .D
Alias conocidos: DS9,vbs, I-worm.Lee, Picard.VBS, Osterhase.vbs
Riesgo Infección: Bajo (Bajo, Alto, Muy Alto)
Activación: Presentación de mensaje en pantalla
Propagación: Por autoenvio de worm a través de Outlook
Detección: Desde DATS 4085
Motor necesario: Engine 4.0.50 o superior
Infección actual: Inicial (Inicial, Media, Elevada)
Un nuevo worm con multiples variantes
está siendo propagado por Internet.
Se recibe vía MAPI (autoenviado por las
listas del Outlook de otro usuario infectado) anexando un fichero con extensión vbs
(Visual basic script)
El e-mail que se recibe, tiene el
siguiente formato:
Asunto “Hi check this...”
Cuerpo ”Hello.. Your Game is Over..By Q
From Lee”
Anexo Ds9.vbs” o “Picard.vbs”
Los nombres de Ds9 y Picard vienen de la serie de tv “Deep Space Nine”.
La última variante .D requiere
Windows Scripting Host (WSH) y también
es conocida como Independ.vbs o
Independance Day.vbs o VBS/Independance, requiriendo que exista C:\Windows\System32
(WinNT) para progresar, y además todo el cuerpo del mensaje está en alemán, por lo que
entendemos que en nuestro pais se propagará menos. El e-mail que se recibe tiene el
siguiente formato:
Asunto:”Mail from: Lee@Buxtehude.de
Cuerpo:”The best Firewall under Windows
is ...BlackIce, BUGFIX des
Monants”, “Windoof 2000” , (y siguen 16 líneas en alemán !)
Anexo: Independance day.vbs
El fichero Independance day.vbs lo graba en C:\Windows\system32, el cual al ser ejecutado se cuida de enviar el worm vía MAPI a todas las direcciones del Outlook. Una vez enviado, modifica el registro de sistema para no repetir el envio.
Se controla desde DATS 4085, ya
disponibles en nuestra web. Para bajarlos, acceder a www.satinfo.es y seleccionar, al
final de la página, “Para descargar los DATS para versión 4.xx pulse aquí”,
luego copiar el DATS4.ZIP en C:\DATS y ejecutar el AUTOUPDATE. (o bien ejecutar el fichero
SDAT4085.exe) En el caso de que se quiera actualizar NT o W2000, aconsejamos utilizar el
SDAT4085.exe, pues de lo contrario habría que modificar la ruta a C:\DATS en la
configuración de la tarea “Actualización automática de DAT” para que el
Autoupdate utilizara la ruta C:\DATS en lugar de la programada por defecto A:
SATINFO, VIRUSCAN SPAIN SERVICE L.7-7-00
SATINFO, VIRUSCAN SPAIN SERVICE
