31/08/01

NOTICIAS

Una supuesta alerta de Microsoft, disfraz del gusano Invalid


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

El gusano, con un elevado poder destructivo, se esconde tras un supuesto mensaje oficial del departamento técnico del gigante informático
Invalid o Support son los nombres que se le atribuyen a un nuevo gusano que ha sido programado para transmitirse vía e-mail pero cuya rutina no funciona, lo que no entraña grandes riesgos para el usuario. Sin embargo, aunque las posibilidades de infección de los internautas sean mínimas, es conveniente tenerlo en cuenta porque tiene un alto potencial destructivo.

El texto del mensaje que recibe el usuario es el siguiente:

De: "Microsoft Support" support@microsoft.com
Asunto: Invalid SSL Certificate
Texto: Hello, Microsoft Corporation announced that an invalid SSL certificate that web sites uses is required to be installed on the user computer to use the https protocol. (...)
Archivo adjunto: sslpatch.exe

Como se puede comprobar, Invalid llega en forma de adjunto con nombre SSLPATCH. EXE, en un mensaje que se supone que procede del servicio técnico de Microsoft y en el que pide al usuario que ejecute el adjunto para proteger el PC de una supuesta vulnerabilidad: un desbordamiento del búfer en Internet Explorer causado por un certificado SSL mal implementado que podría permitir la entrada de atacantes no deseados. En ese momento, si la víctima ejecuta el programa, el virus extrae las direcciones e-mail de las etiquetas "mailto:" de todos los archivos que encuentre dentro de la carpeta "Mis documentos" con extensión.HT*. Luego si su rutina de propagación funcionase se intentaría reenviar a todas las direcciones encontradas, acción que como ya dijimos no consigue realizar.

Por último, Invalid encripta todos los archivos .EXE del directorio actual hasta el raíz (por defecto C:) dejándolos inutilizados y haciendo que Windows y sus programas no funcionen convenientemente. La solución en caso de infección estaría en la reinstalación de Windows y todos los programas que se vieran afectados.

La autoría del gusano se le atribuye a "Dr.T", fundador del grupo de hackers israelí "Black Cat Virri". Según reconoce el autor en su página web, lo característico de Invalid es su capacidad de dañar archivos ejecutables encriptándolos con Windows CryptoAPI, un servicio de codificación incluido en las versiones más recientes de Windows. Método, por cierto, poco empleado por muy pocos virus.

Hasta el momento, sólo McAffe, Trend Micro y Central Command han reportado la existencia de este virus de ingeniería social. Como siempre, desde VIRUSPROT.COM hacemos especial hincapié en que el usuario no abra archivos adjuntos, solicitados o no, sin antes chequearlos con una solución anti-virus lo más actualizada posible.


Copyright © VIRUSPROT.COM