Dos nuevos virus han iniciado su propagación a través del correo electrónico. Panda Software resalta su alta capacidad de propagación lo que nos obligara a extremas las precauciones


Lirva, un nuevo gusano que puede ejecutarse a través de la vista previa

Este nuevo código malicioso que recibe el nombre de W32/Lirva, posee una gran capacidad para propagarse a través de diferentes vías, entre las que se incluyen el correo electrónico, la aplicación de intercambio de ficheros KaZaA y los programas de chat IRC e ICQ. Además, en caso de llegar a través de correo electrónico, Lirva aprovecha una conocida vulnerabilidad del navegador Microsoft Internet Explorer para autoejecutarse simplemente con la vista previa del mensaje que contiene al gusano.

El e-mail en el que llega Lirva tiene características variables, ya que tanto el asunto como el cuerpo de texto y el nombre del fichero adjunto se seleccionan a partir de una lista de opciones.

En caso de que el usuario abra el archivo recibido, o bien el gusano se autoejecute empleando la vulnerabilidad antes mencionada, Lirva creará varios ficheros en el equipo, entre los que se incluyen copias del propio gusano. Por otra parte, genera archivos -también con nombre aleatorio- en el directorio de ficheros compartidos de KaZaA, Asimismo, en el caso de que el programa IRC se encuentre instalado en el equipo, Lirva modifica el fichero "script.ini".

Además, el gusano ha sido diseñado para paralizar el funcionamiento de algunos antivirus y firewalls con el objetivo de dejar totalmente desprotegido el ordenador afectado.

Finalmente, Lirva modifica el registro de Windows para asegurar su ejecución cada vez que se reinicie el equipo.

Variante "N" del gusano W32/Explorezip, elimina el contenido de los documentos de nuestro disco duro

Asimismo, la compañía informó de la llegada de una nueva variante de W32/Explorezip, la "N",  que utiliza el correo electrónico para infectar a los equipos.

W32/Explorezip.N se envía a sí mismo a través de comandos MAPI, utilizando MS Outlook, MS Outlook Express y MS Exchange. En concreto, llega por e-mail en un fichero adjunto llamado "zipped_files.exe". A diferencia de su predecesor, la variante "N" de W32/Explorezip está comprimida con UPX modificado y su tamaño es 91.048 bytes.

W32/Explorezip es un gusano dañino ya que, una vez activado, selecciona ficheros y documentos de la máquina infectada y deja su contenido a cero bytes (como si los vaciara o borrara), operación que repite cada 30 minutos. Esta acción del gusano puede provocar una pérdida irreparable de los datos. En redes locales, el gusano busca el acceso al directorio Windows de otros usuarios y, en caso de encontrarlo, se copia a sí mismo y modifica el fichero WIN.INI de dichos equipos. Posteriormente, procede a activar su efecto dañino, vaciando los ficheros que ataca.

Cuando apareció, en 1999, W32/Explorezip se convirtió -junto al gusano Melissa- en uno de los códigos maliciosos que mayores ataques y pérdidas provocaron en las empresas.