McAfee AVERT descubre nuevo virus Mydoom
BEAVERTON, Oregon, 16 de agosto -- McAfee, Inc. (NYSE: MFE),
el principal proveedor de soluciones para la prevención de intrusos,
anunció hoy que McAfee® AVERT™ (Anti-Virus and Vulnerability Emergency
Response Team), la división de investigación de clase mundial
perteneciente a McAfee®, otorgó la clasificación de riesgo de
nivel Medio al recientemente descubierto W32/Mydoom.s@MM, también
conocido como Mydoom.s. Esta nueva variante es un gusano que envía
correos electrónicos masivos y que viene en la forma del archivo
adjunto .EXE, "photos_arc.exe." Hasta ahora, McAfee
AVERT ha recibido más de 100 informes del virus en un período
de tres horas, los cuales han sido detenidos o han infectado a
los usuarios del rubro. El mayor número de archivos infectados
se ha registrado en Japón y Europa.
Visión General de la Amenaza
Mydoom.s es una amenaza que envía mensajes masivos y que cuenta
con su propio motor SMTP para crear mensajes salientes. Similar
a variantes anteriores, esta amenaza recolecta direcciones de
los archivos locales y luego las utiliza en el campo "De"
para autoenviarse. Esto crea un mensaje con una dirección falsificada
en el campo “De”. El archivo adjunto es del tipo .EXE con un nombre
único, photos_arc.exe, el cual difiere de las otras variantes
de Mydoom que tienden a utilizar múltiples extensiones. Los usuarios
deben ser muy cautelosos y probablemente borrar cualquier correo
electrónico que contenga lo siguiente:
De: (De falsificado: título)
Asunto: photos
Cuerpo del mensaje: LOL!;))))
Patología de la Amenaza
Una vez que se ejecuta, Mydoom.s se copia a sí mismo en el directorio
WINDOWS (%WinDir%) como rasor38a.dll y en el directorio SYSTEM
(%SysDir%) como winpsd.exe, para realizar sus funciones. La siguiente
clave de registro se agrega para enganchar al inicio del sistema:
-- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32
-- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32
-- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Ejecutar "winpsd" = C:\WINDOWS\System32\winpsd.exe
Luego, el gusano procede con el componente de acceso remoto
del virus, que busca conexiones remotas. Además, el virus descarga
un troyano de puerta trasera en el equipo de la víctima y ejecuta
la amenaza.
Protección del Sistema y Cura
Puede encontrar más información sobre Mydoom.s y una cura para
este gusano en el sitio de McAfee AVERT, en http://vil.nai.com/vil/content/v_127616.htm.
McAfee AVERT aconseja a sus clientes que realicen una actualización
a los DAT 4386 para seguir contando con protección contra todas
las amenazas Mydoom actuales.
McAfee AVERT Labs es una de las organizaciones de investigación
antivirus y antivulnerabilidad más respetada del mundo y emplea
a investigadores en trece países, en cinco continentes. McAfee
AVERT combina la investigación de clase mundial de antivirus y
códigos maliciosos con la experiencia de la prevención de intrusos
e investigación de vulnerabilidades de las organizaciones McAfee®
IntruShield® y McAfee® Entercept®, dos divisiones de investigación
que fueron adquiridas a través de IntruVert Networks y Seguridad
de Entercept. McAfee AVERT protege a los clientes proporcionando
curas que se desarrollan en un esfuerzo conjunto de los investigadores
de McAfee AVERT y la tecnología de McAfee AVERT AutoImmune, que
aplica heurística avanzada, detección genérica y tecnología ActiveDAT
con el fin de generar las curas para virus anteriormente desconocidos.
Acerca de McAfee, Inc.
Con su oficina principal ubicada en Santa Clara, California, McAfee,
Inc. (NYSE: MFE) desarrolla las mejores soluciones de seguridad
para computadoras del mercado, las cuales evitan la intrusión
en redes y protegen los sistemas computacionales frente a la próxima
generación de amenazas y ataques combinados. Los clientes de McAfee
incluyen a grandes empresas, gobiernos, medianas y pequeñas empresas
y consumidores. Si desea más información, puede comunicarse con
McAfee, Inc. por teléfono llamando al 1 786 388 3900 o por Internet
en www.mcafee.com.mx <http://www.mcafee.com.mx>
NOTA: McAfee y AVERT son marcas registradas o marcas comerciales
de McAfee, Inc. y/o sus afiliados en los Estados Unidos y otros
países. El Rojo en conexión con seguridad es distintivo de McAfee®.
Todas las marcas comerciales registradas y no registradas que
aparecen en este documento son de exclusiva propiedad de sus respectivos
dueños.
CONTACTO PRENSA:
Verónica Riera +56-2-3896000
Fotografía: NewsCom: <http://www.newscom.com/cgi-bin/prnh/19991104/NETALOGO>
Archivo de Prensa Asociada: <http://photoarchive.ap.org>
PRN Photo Desk, 1-888-776-6555 ó +1-212-782-2840
Sitio Web: www.mcafee.com.mx
(MFE)
