10/01/03

NOTICIAS

Lirva y ExploreZip.N, dos nuevos gusanos de los que se están reportando numerosas incidencias


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

El primero desactiva los programas de seguridad instalados en el equipo y roba contraseñas, el segundo, destruye archivos y documentos

Los primeros virus del 2003 con incidencias relevantes no se han hecho esperar. Los principales desarrolladores anti-virus están registrando desde ayer numerosas infecciones generalizadas en Europa y América de diversas variantes muy similares entre sí del nuevo gusano Lirva y, también, de una nueva versión del destructivo ExploreZip que apareciera en 1999.

Proveniente de Asia Central según apunta F-Secure Corporation, Lirva (también conocido como Abril, Avron o Naith) posee una gran capacidad para propagarse a través de diferentes vías, entre las que se incluyen el correo electrónico, la aplicación de intercambio de archivos KaZaA y los programas de chat IRC e ICQ. En caso de llegar a través de correo electrónico, Lirva aprovecha una conocida vulnerabilidad del navegador Microsoft Internet Explorer para autoejecutarse simplemente con la vista previa del mensaje que contiene al gusano.

El e-mail en el que llega Lirva tiene características variables, ya que tanto el asunto como el cuerpo de texto y el nombre del adjunto se seleccionan a partir de una lista de opciones.

Una vez en ejecución, Lirva creará varios archivos en el equipo, entre los que se incluyen copias del propio gusano. Por otra parte, genera archivos (también de nombres aleatorios) en el directorio de archivos compartidos de KaZaA, Asimismo, en el caso de que el programa IRC se encuentre instalado en el equipo, Lirva modifica el fichero "script.ini".

El gusano ha sido diseñado para paralizar el funcionamiento de algunos anti-virus y firewalls, con el objetivo de dejar totalmente desprotegido el sistema, y para robar las contraseñas almacenadas en la memoria caché de Windows. Finalmente, Lirva modifica el registro de Windows para asegurar su ejecución cada vez que se reinicie el equipo.

En cuanto a la nueva variante "N" ("M", "E" y "91048" para algunos fabricantes) del israelí Explorezip, uno de los códigos maliciosos que mayores ataques y pérdidas provocaron en las empresas junto a Melissa o CIH, decir que se trata de un gusano de correo electrónico diseñado para propagarse de forma rápida y masiva y destruir los archivos almacenados en los sistemas atacados.

Explorezip.N se envía a sí mismo a través de comandos MAPI, utilizando MS Outlook, MS Outlook Express y MS Exchange. En concreto, llega por e-mail en un fichero adjunto llamado "zipped_files.exe". A diferencia de su predecesor está comprimido con UPX modificado y su tamaño es 91.048 bytes.

Explorezip es un gusano dañino ya que, una vez activado, selecciona archivos y documentos de la máquina infectada y deja su contenido a cero bytes (como si los vaciara o borrara), operación que repite cada 30 minutos. Esta acción del gusano puede provocar una pérdida irreparable de los datos. En redes locales, el gusano busca el acceso al directorio Windows de otros usuarios y, en caso de encontrarlo, se copia a sí mismo y modifica el fichero WIN.INI de dichos equipos. Posteriormente, procede a activar su efecto dañino, vaciar los archivos.


Copyright © VIRUSPROT.COM