NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

Nuevo gusano que envía mails paralelos anexando fichero ICECUBE.EXE

Nombre de virus: W32/IceCube @ M

Alias conocidos: I-worm.Icecube

Riesgo Infección: Alto   (Bajo, Alto, Muy Alto)

Activación: Envía mail paralelo a cada mail que se desea enviar

Propagación: Por ejecución del fichero anexado Icecubes.exe

Detección: Desde DATS 4099

Motor necesario: Engine 4.0.35 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)

 

Es un gusano que se recibe mediante el envio de un mail paralelo al que se quiere enviar, en el que hay anexado el fichero ICECUBES.EXE

El texto del mensaje es el siguiente:

     "Asunto : Windows Icecubes !
        Contenido: I almost forget. Look at what. I found on the web This tool scan your
        System for hidden Windows settings better know as -Windows Icecubes-.
        These secret settings were built in by the Windows programers.
        I think you might to change then a little, just take a look ! : )
      Anexo: ICECUBES.EXE "

La ejecución del fichero ICECUBES.EXE simula la búsqueda de “cubos de hielo” secretos, ocultos en el sIstema, que son supuestos códigos existentes dentro de Windows que sólo conocen los creadores del mismo, y mientras, instala el gusano en el ordenador, copiándose a sí mismo como WSOCK32.DLL en la carpeta del directorio de sistema de Windows. Para ello primero se copia como Wsock32.inf y crea un Wininit.ini que, en el próximo reinicio, renombrará dicho .Inf a .DLL, antes de que esté en uso, para así poder ejecutarse cada vez que se reinicie Windows.

 

Guarda en fichero Icecubes.txt nombres de usuario y contraseñas de Internet y

cada 1 de Julio el virus muestra un mensaje inocuo de detección de Icecubes. 

 

Desde los DATS 4099 y engine 4.0.35 ya se controla este gusano, por lo que simplemente se debe tener actualizado el antivirus con el último CDROM enviado, (DATS4100) o con posteriores actualizaciones en disquetes /4109, 4115) Si no se hubiera recibido, basta con bajar de nuestra web www.satinfo.es el fichero actual DATS41xx.ZIP al directorio C:\DATS y tarea AUTOUPDATE. Si no se tiene el último engine, puede bajarse el SDAT41xx.EXE y ejecutarlo

 

Si se detecta dicho virus, solo se ha de restaurar el WSOCK32.DLL bien desde el CDROM original (con Windows98 usar SFC.EXE) o bien copiando el de otra máquina que tenga la misma versión del sistema operativo a un disquete, desde el que poder restaurar el afectado, pudiendo utilizar, para mayor facilidad nuestra utilidad SUSWSOCK.EXE, existente en el apartado de Utilidades de nuestra web

 

 SATINFO, VIRUSCAN SPAIN SERVICE 26-1-2001

Anterior