NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior


Es un gusano de 4 Kb, que envía e-mail a direcciones WAB, y autoejecuta el fichero que anexa, por solo leer el e-mail con Outlook Express básico (MIME)

Es posible identificarlo por el fichero anexado, que siempre es el WHATEVER.EXE

Nombre de virus: W32/Aliz @ mm
Alias conocidos: W95/Aliz, Aliz, W32/Aliz.A
Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: No se le conoce payload destructivo, ni queda residente en memoria
Propagación: Envía mails infectados a las direcciones WAB, anexando Whatever.exe
Detección: DATS 4141
Motor necesario: 4.0.02
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de un gusano con propagación masiva e infección por agujero de seguridad MIME, que ya está controlado por el antivirus de McAfee desde DATS 4141 de Mayo 2001, pero que ahora empieza a distribuirse y ser controlado y detectado por otros antivirus. Aparte de infectar como los últimos virus NIMDA, REDESI, KIRAY, KLEZ, CIOSOR, etc, que con Internet Explorer 5 (Outlook Express sin parches) se ejecuta el fichero infectado por solo leer el e-mail, por lo que su propagación puede ser masiva, se lleva el mérito de haber sido escrito mucho antes que el primero de ellos, si bien no se había lanzado a Internet. Es ahora cuando se empiezan a recibir profusión de estos mails. Conviene instalar los parches de Microsoft ya indicados para el NIMDA.

Es tan fácil de eliminar este virus como de ser infectado por él, pues si bien para esto último basta lo ya indicado, o la ejecución voluntaria del fichero anexado al e-mail, proviniente de direcciones conocidas, lo cual pararía el antivirus, por otro lado incluso sin antivirus se puede detectar y eliminar, viendo que el e-mail contiene adjunto el fichero WHATEVER.EXE y eliminar dicho mail y el fichero indicado si lo tenemos copiado en alguna carpeta, (por ej. C:\Windows\Temp), pues no queda residente ni modifica ninguna clave de registro, sino que se ejecuta al leer el e-mail, y envía a todas las direcciones de WINDOWS ADDRESSl BOOK (Wab) los e-mails infectados.

El mail que envía tiene ASUNTO y TEXTO aleatorio, pero en inglés, (a pesar de hacer referencia al grupo 29A), lo cual puede ser un freno en España para dicho virus.

De todas formas su replicación es masiva e inmediata, por lo que puede extenderse rápidamente, razón por la que avisamos sobre características y detalles de este worm.

 

 

VIRUSCAN SPAIN SERVICE 27-11-2001

Anterior