SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Nueva variante de
w32/Sobig, de envío masivo. Puede propagar a través de comparticiones red o llegar en
mensajes de correo electrónico con diferentes remitentes falsos. El fichero infectado se
incluye dentro de un archivo ZIP.
Nombre de virus: W32/Sobig.e@MM
Alias conocidos: -
Riesgo Infección: Medio
(Bajo, Medio, Alto, Muy Alto)
Propagación: Como fichero adjunto a e-mail o a través de recursos de red compartidos
Activación: Por
ejecución de fichero infectado details.pif
Detección: desde
DATS 4273
Motor necesario: desde 4.1.60
Infección actual: Media (Inicial, Media, Elevada)
Este gusano, al igual que sus variantes previas, se propaga por
e-mail a todos los contactos de la libreta de direcciones de Windows (Windows Address
Book) y utiliza su propio motor SMTP para construir los mensajes salientes.
También se propaga por recursos de red compartidos.
Propagación por correo electrónico
Mensaje: Please see the attached zip file for details.
Adjunto: your_details.zip (que contiene details.pif)
* Nota: El gusano falsea la dirección remitente (From), por lo que el remitente aparente del mensaje no se corresponde con el remitente real.
· \Documents and Settings\All Users\Menú Inicio\Programas\Inicio\
· \Windows\All Users\Menú Inicio\Programas\Inicio\· "winssk32.exe" (aprox 85kB) (una copia de sí mismo)
· "msrrf.dat" (fichero de configuración)
Añade las siguientes claves de registro para provocar que se cargue en memoria al iniciar el sistema:
·
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "SSK Service" = %WinDir%\winssk32.exe
· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "SSK Service" = %WinDir%\winssk32.exe
(donde %WinDir% es el directorio por defecto de Windows, por ejemplo C:\WINNT, C:\WINDOWS etc.)
Detección y eliminación
