NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

 

Nuevo gusano de red que infecta ficheros ejecutables

Nombre de virus: W32/Gael.worm.a
Alias conocidos:
Virus.Win32.Tenga.A, W32.Licum
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación:
Infecta ficheros EXE a través de recursos compartidos de red
Activación: Por ejecución de EXE infectado
Detección: desde DATS 4534 (control actualizado con DATS 4539)
Motor necesario: desde 4.4.00
Infección actual:
Inicial (Inicial, Media, Elevada)

w32/Gael.worm.a es un gusano infector que propaga a ejecutables hospedados en la propia máquina infectada, así como a sistemas accesibles en una red. El gusano también descarga y ejecuta otros ficheros.

Cuando se ejecuta, el gusano infecta ficheros .EXE del sistema local, añadiendo su código al final de los mismos. Crea 10 hilos de búsqueda para detectar equipos infectables via NetBIOS, a través del puerto TCP139. Para ello se vale de una conocida vulnerabilidad en el componente Remote Procedure Call (RPC), ya corregida por Microsoft en el boletín de seguridad MS03-026 y posteriores.

El gusano intenta conectar con los sistemas vulnerables a través de IPC$ y recursos compartidos para infectar ficheros remotamente.

También intenta descargar y ejecutar un fichero denominado dl.exe desde utenti.lycos.it Asimismo, el virus descarga un troyano descargador, Downloader-ACX, que a su vez baja otros dos ficheros:

  • GAELICUM.EXE - generador de W32/Gael.worm
  • CBACK.EXE - un nuevo troyano de acceso remoto, BackDoor-CTM

Adicionalmene, también intenta desactivar las protecciones de archivos de Windows.

Síntomas

- Tráfico netbios excesivo desde el sistema infectado
- Presencia de DL.EXE, GAELICUM.EXE, y CBACK.EXE

El virus no crea ninguna clave de registro ni tiene ningún otro método de instalación para iniciarse automáticamente al reiniciar el sistema.

 

Detección y eliminación

El gusano se controla desde los DAT 4434 (detección mejorada e inclusión de últimas variantes conocidas hasta la fecha en DATs 4539), para su eliminación se recomienda reiniciar el sistema en modo seguro "Sólo símbolo del sistema" y desde línea de comandos ejecutar la sintaxis

SCAN.EXE /clean /all /adl

Nota: la ruta por defecto de Scan.exe en VirusScan Enterprise es
c:\Archivos de programa\Archivos comunes\NetWork Associates\Engine.


SATINFO, VIRUSCAN SPAIN SERVICE 21 de Julio de 2005

Anterior