Dos nuevos virus han iniciado su propagación a través del correo electrónico.
Panda Software resalta su alta capacidad de propagación lo que nos obligara a
extremas las precauciones
Lirva, un nuevo gusano que puede ejecutarse a través de la vista previa
Este nuevo código malicioso que recibe el nombre de W32/Lirva, posee una gran
capacidad para propagarse a través de diferentes vías, entre las que se incluyen
el correo electrónico, la aplicación de intercambio de ficheros KaZaA y los
programas de chat IRC e ICQ. Además, en caso de llegar a través de correo
electrónico, Lirva aprovecha una conocida vulnerabilidad del navegador Microsoft
Internet Explorer para autoejecutarse simplemente con la vista previa del
mensaje que contiene al gusano.
El e-mail en el que llega Lirva tiene características variables, ya que tanto el
asunto como el cuerpo de texto y el nombre del fichero adjunto se seleccionan a
partir de una lista de opciones.
En caso de que el usuario abra el archivo recibido, o bien el gusano se
autoejecute empleando la vulnerabilidad antes mencionada, Lirva creará varios
ficheros en el equipo, entre los que se incluyen copias del propio gusano. Por
otra parte, genera archivos -también con nombre aleatorio- en el directorio de
ficheros compartidos de KaZaA, Asimismo, en el caso de que el programa IRC se
encuentre instalado en el equipo, Lirva modifica el fichero "script.ini".
Además, el gusano ha sido diseñado para paralizar el funcionamiento de algunos
antivirus y firewalls con el objetivo de dejar totalmente desprotegido el
ordenador afectado.
Finalmente, Lirva modifica el registro de Windows para asegurar su ejecución
cada vez que se reinicie el equipo.
Variante "N" del gusano W32/Explorezip, elimina el contenido de los
documentos de nuestro disco duro
Asimismo, la compañía informó de la llegada de una nueva variante de W32/Explorezip,
la "N", que utiliza el correo electrónico para infectar a los equipos.
W32/Explorezip.N se envía a sí mismo a través de comandos MAPI, utilizando MS
Outlook, MS Outlook Express y MS Exchange. En concreto, llega por e-mail en un
fichero adjunto llamado "zipped_files.exe". A diferencia de su predecesor, la
variante "N" de W32/Explorezip está comprimida con UPX modificado y su tamaño es
91.048 bytes.
W32/Explorezip es un gusano dañino ya que, una vez activado, selecciona ficheros
y documentos de la máquina infectada y deja su contenido a cero bytes (como si
los vaciara o borrara), operación que repite cada 30 minutos. Esta acción del
gusano puede provocar una pérdida irreparable de los datos. En redes locales, el
gusano busca el acceso al directorio Windows de otros usuarios y, en caso de
encontrarlo, se copia a sí mismo y modifica el fichero WIN.INI de dichos
equipos. Posteriormente, procede a activar su efecto dañino, vaciando los
ficheros que ataca.
Cuando apareció, en 1999, W32/Explorezip se convirtió -junto al gusano Melissa-
en uno de los códigos maliciosos que mayores ataques y pérdidas provocaron en
las empresas.
domingo mayo 25, 2014