NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior


Nuevo virus gusano de difusión masiva, con autoactualización de plugins

Nombre de virus: W32/UNIS@MM

Alias conocidos: UNIVERSE

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Envía mail al hacker con datos de la máquina y se actualiza

Propagación: Por ejecución fichero recibido por e-mail, IRC, y ficheros RAR

Detección: DATS 4118

Motor necesario: 4.0.35

Infección actual: Inicial (Inicial, Media, Elevada)

 

Un nuevo gusano con técnicas de autoactualización como el conocido Hybris, ha sido controlado como virus W32/UNIS desde los DATS 4118 de VIRUSCAN, con los que se evitará la infección y propagación de dicho nuevo gusano.

La ejecución del virus crea, en el directorio de sistema de Windows, el fichero MSVBVM60.EXE, que no debe confundirse con el del sistema operativo del mismo nombre pero con extensión DLL, el cual debe existir.Bajo Windows 9x oculta su presencia en las Tareas activas, no pudiendo ser detectado por este medio.

Tras ello, se crea una clave en el registro de sistema, que ejecuta dicho fichero en cada reinicio de Windows, pasando a notificar al hacker información sobre el ordenador infectado, y bajando de la web, si puede, nuevos plugins, si bien la web inicial de descarga ha sido cerrada, De todas formas, al igual que el Hybris, puede bajar plugins desde otros servidores. Los plugins los salva en el directorio de sistema con el nombre del gusano seguido al final de una letra del alfabeto, empezando por la A, y ahora con extensión DLL, por ejemplo MSVBVM60A.DLL, MSVBVM60B.DLL, etc. Estos plugins están encriptados con método RSA, y son desencriptados por el gusano previamente instalado.

Para eliminarlo debe ejecutarse nuestra utilidad UNDO14.REG y tras reiniciar Windows con el antivirus actualizado a DATS 4118, ya se podrán eliminar los gusanos creados por dicho virus, o bien borrar manualmente del directorio de sistema de Windows todos los ficheros MSVBVM60*.* menos el MSVBVM60.DLL

Desde los DATS 4118 y engine 4.0.35 ya se controla este virus, por lo que simplemente se debe tener actualizado el antivirus con dicha versión o superior para controlarlo. Si no se tiene y se quiere actualizar, basta con bajar de nuestra web, www.satinfo.es, el fichero DATS4118.ZIP (o superior) al directorio C:\DATS y proceder con AUTOUPDATE. Si se quiere optimizar el antivirus al último engine (motor de exploración), procedan a bajar y ejecutar el SDAT4118.EXE (o superior)

 

SATINFO, VIRUSCAN SPAIN SERVICE                    2-2-2001

Anterior