08/11/01

NOTICIAS

"Finaldo.B": al estilo Nimda pero defectuoso


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

Llega en un mensaje sin texto ni asunto, con un archivo adjunto sin nombre de extensión .EXE y un tamaño de 46 Kb

Un nuevo gusano polimórfico escrito en C++ viene a alterar la tranquilidad de los internautas. Finaldo.B se propaga por correo electrónico y es capaz de infectar archivos en formato Portable Executable (PE), además explota la misma vulnerabilidad que Nimda de la cabecera MIME (presente en algunas versiones de los programas de correo Outlook y Outlook Express de Microsoft) para ejecutarse con sólo previsualizar el e-mail que lo contiene, en el caso de que el usuario no haya instalado el parche que corrige este agujero de seguridad. Sin embargo, cabe destacar que presenta algunos errores de programación en su código que le impiden funcionar de manera correcta.

Finaldo.B llega oculto en un mensaje de correo que carece de asunto y texto en el cuerpo del mismo. E archivo adjunto, que se hace pasar por un archivo tipo audio/x-wav codificado en formato MIME, carece de nombre, su extensión es .EXE y su tamaño 46 Kb, está acompañado por un icono de la bandera de la República Popular China.

Una vez en el PC, el gusano crea un archivo llamado FINALDOOM.DLL (comprimido con la utilidad UPX y atributo oculto) en el directorio temporal de Windows. Esta DLL es la encargada de infectar todos los archivos PE con las extensiones .EXE, .OCX y SCR que encuentre en unidades locales y de red compartidas. Una vez realizada la infección, la librería DLL se elimina. Además, Finaldo infecta archivos con las extensiones .HTM, .HTML y ASP incluyendo código en JavaScript que abre una ventana en el explorador con el archivo FINALDOOM.EML infectado.

A partir de ese momento, comenzará su rutina de propagación, para ello utiliza funciones MAPI con las que localiza las direcciones de correo de la bandeja de entrada. Una vez conseguidas, utilizará los servidores de correo SMTP de dichas direcciones para difundirse de la siguiente forma: SMTP.direccion.com, MAIL.direccion.com, WWW.direccion.com o EMAIL.direccion.com.

Los archivos que resultan infectados incluyen la cadena de texto "Coded_by_CJH" seguida de 8 dígitos en hexadecimal que representan la cantidad de archivos que se han infectado hasta el momento. Además, el código del gusano recoge el siguiente texto: "Code by Finaldoom".

La recomendación de VIRUSPROT.COM pasa por recordar la necesidad de llevar a cabo una actualización continúa de los programas instalados, en el caso de que presenten algún agujero de seguridad, y por escanear con soluciones anti-virus actualizadas, todos y cada uno de los mensajes que se reciban y contengan archivos adjuntos.


Copyright © VIRUSPROT.COM