NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

Nuevo gusano con envio masivo vía Outlook y envío de fichero anexado

Nombre de virus: W32/XTC@MM

Alias conocidos: I-worm.XTC

Riesgo Infección: Alto   (Bajo, Alto, Muy Alto)

Activación: Envía mails a direcciones de HTML y abre puerta trasera

Propagación: Por ejecución fichero anexo al mail SERVICES.EXE

Detección: Desde DATS 4111

Motor necesario: Engine 4.0.70 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Es un gusano que se autoenvía a las direcciones que encuentra en los HTML del directorio “Temporary Internet files”, al ejecutar el fichero SERVICES.EXE que llega anexado a un email que se recibe con un presunto asunto de actualizacion para AVX, con el siguiente texto en inglés:

    “Hi, We would like to notify you about the newest software designed by SOFTWIN company. This programs constantly monitors the net for the newest viral treats and anti-virus databases, in the case some new virus is in-the-wild, it will inmediatelly ask you to download the newest version of AntiVirus eXpert 2000  .....

      Anexo: SERVICES.EXE “

La ejecución de dicho fichero anexado hace una copia de sí mismo dentro de C:\Windows y crea una clave de registro por la que en cada reinicio de Windows se ejecutará dicho fichero, propagando el virus a través de e-mail y unidades compartidas, abriendo puerta trasera vía IRC, por la cual el hacker puede realizar las siguientes tareas:
    -    Iniciar un ataque DDoS
-    Enviar el gusano a direcciones de e-mail específicas
Desinstalar el gusano
Descargar ficheros y ejecutarlos
Ejecutar comandos IRC
Cambiar la página de acceso de Internet Explorer
Capturar el nombre del ordenador víctima del ataque
Crear y borrar directorios y ficheros
Ejecutar programas

Desde los DATS 4111 y engine 4.0.70 ya se controla este gusano, por lo que si ya se dispone de dicho engine basta con bajar de nuestra web, www.satinfo.es, el fichero DATS4111.ZIP o superior al directorio C:\DATS y proceder con AUTOUPDATE.
Si el engine disponible en el ordenador es inferior al 4.0.70, conviene bajar el fichero Superdat (SDAT4111.EXE o superior)  y ejecutarlo.

Si se detecta dicho virus, deben borrarse los ficheros detectados (gusanos) y proceder a desactivar la compartición por defecto para evitar intrusismos.

SATINFO, VIRUSCAN SPAIN SERVICE                        5-1-2001

Anterior