NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior


Llega en un fichero de nombre variable anexado a un e-mail enviado masivamente

Este virus copia ficheros *.EXE, DOC y TXT, añadiendoles la extensión .VBS y el virus


Nombre de virus: W32/Updatr.gen @ MM
Alias conocidos: I-worm.Imelda, I-worm.Updater
Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: Crea dobles ficheros infectados en unidades locales y en las mapeadas en red.
Propagación:.Por envio masivo de mails, con fichero infectado, a las listas de Outlook
Detección: DATS 4176
Motor necesario: 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de otro virus de propagación masiva, a todas las direcciones de la libreta de Outlook, enviando un e-mail de nombre, asunto y fichero variable, cuya ejecución crea en el directorio C:Windows el fichero UPDATE.EXE de 12.288 bytes de tamaño.

La ejecución del fichero anexado al e-mail, que como siempre repetimos, nunca se deben ejecutar si no se han solicitado, aunque vengan de direcciones conocidas, instalará el virus en el ordenador, creando una clave en el registro de sistema que llamará en cada reinicio al fichero C:\Windows\Update.exe, infectado por dicho virus.

Al mismo tiempo el virus hará una copia de los ficheros *.EXE, DOC y TXT, añadiendoles el script de visual basic del virus, y añadiendo la extensión .VBS a dichos ficheros copia, de manera que aparecerán ficheros aparentemente duplicados, dado que la segunda extensión, que es la que Windows ejecuta, no se vé desde el explorador (muestra la primera y ejecuta la segunda).

Dado que el virus utiliza los campos TO: y BCC: para autoenviarse por correo electrónico, es posible que se reciba el mail por duplicado, lo cual, además de venir en inglés, puede ser tenido en cuenta para descartarlo de entrada.

Si se detecta la infección en un ordenador, simplemente se deben eleiminar los ficheros infectados con este virus, pues los originales no son afectados por el mismo.

Con los DATS 4176 ya se controla dicho virus, que por lo que parece no tiene características destructivas, y sólo cabe borrar la clave del registro de sistema y reiniciar el equipo para eliminarlo. En los casos en que se resista por estar en uso se puede ejecutar nuestra herramienta UNDO24.REG, a la que se ha añadido la restauración de dicha clave.

Como siempre las herramientas están disponibles en la sección de Descarga|Utilidades de SATINFO en nuestra web, www.satinfo.es

 

VIRUSCAN SPAIN SERVICE 13-12-2001

Anterior