El proveedor de soluciones antivirus, Trend Micro, emitió hoy una alerta amarilla por la detección del gusano WORM_NETSKY.P, el cual aprovecha una antigua vulnerabilidad del Explorador de Internet (Incorrect MIME Herader).
En un comunicado, explica que la versión P de NETSKY llega por correo electrónico, mediante una rutina de envío masivo de mensajes, usando su propio motor SMTP y toma las direcciones de las víctimas de diversos archivos de la computadora infectada.
El mensaje que porta el código malicioso simula ser un mensaje de error, con un archivo adjunto encriptado por seguridad, el cual se ejecuta de manera automática en sistemas que no poseen la actualización contra la Vulnerabilidad de Encabezado Incorrecto de MIME.
Esta falla, permite correr archivos ejecutables que vienenincrustados en mensajes de hipertexto (HTML), en el momento de abrir el correo infectado.
De acuerdo con Trend Micro, esta es la primera ocasión en que los creadores de NETSKY utilizan una vulnerabilidad del software para incrementar las potencialidades de propagación del gusano.
La firma alertó que el mensaje puede contener detalles como una dirección engañosa y el "asunto" podría ser "Encrypted Mail", "Extended Mail", "Status", "Notify", "SMTP Server", "Mail Server", "Delivery Server", "Bad Request", "Failure", "Thank you for delivery", entre otros.
En el cuerpo del mensaje puede empezar con líneas como "Please confirm my request", " ESMTP ÑSecure Mail System !334¿: Secure message is attached" y finalizar con textos como "+++Attachment: No virus found +++ MesaggeLabs Antivirus - www.messagelabs.com".
El archivo adjunto puede presentarse en alguno de los formatos EXE, PIF, SCR o ZIP; en el caso de venir en éste último (.ZOP), podría contener algunos de los ejecutables DATA.RTF.SCR, DETAILS.TXT.PIF o DOCUMENT.TXT.EXE.
Al igual que las versiones anteriores, WORM_NETSKY.P toma las direcciones a las que enviará los mensajes de archivos con las extensiones ADB, ASP, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MSG, OFT,PHP, PL, RTF, SHT, SHTM, TBB, TXT, UIN, VBS, WAB, WSH y XML.
WORM_NETSKY.P se propaga también a través de los recursos compartidos de la red, de manera que los usuarios de las carpetas compartidas descarguen y abran los archivos infectados.
Al infectar una computadora, deposita en el directorio de Windows los archivos FVPROTECT.EXE y USERCONFIG9X.DLL, paraluego crear una entrada en el registro para asegurar su arranque en cada inicio del sistema.
Trend Micro advierte que uno de los signos de la infección de este gusano es la desaparición de las entradas del registro "HKEY_LOCAL_MACHINESystemCurrentControlSet ServicesWksPatch","HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorer PINF" y HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87- 00AA005127ED}InProcServer32".
Copyright © 2004 La Crónica de Hoy .