Nuevo gusano MBR a la antigua usanza
Los laboratorios de ESET en
Eslovaquia nos avisan de un nuevo gusano que se propaga rápidamente y
que modifica el primer sector (MBR) de todos los discos a los que tenga
acceso. El problema es más grave si tenemos en cuenta que la
recuperación de los datos almacenados en los discos afectados resulta
difícil y puede requerir la ayuda de programas o profesionales
especializados en estos menesteres.
Aunque originalmente este gusano tenía como objetivo una asociación de moteros del centro de Eslovaquia, en el momento de publicar esta noticia, ya se había extendido a varios países europeos (entre los que se incluye España), EE.UU. y Tailandia.
Los laboratorios de ESET han conseguido identificar dos variantes de este gusano, conocidas como Win32/Zimuse.A y Win32/Zimuse.B, variantes que difieren en el modo de propagación y el tiempo de activación. Mientras la variante A necesita 10 días antes de empezar a propagarse usando dispositivos USB, la variante B tan solo necesita 7 días. En cuanto a la ejecución de la rutina que deja los discos inservibles, la variante A tarda 40 días en activarse mientras que la variante B reduce este tiempo a la mitad. No obstante, si se usa un método de desinfección inadecuado, el gusano activa inmediatamente su rutina destructiva, como si hubiésemos cortado el cable equivocado al tratar de desactivar una bomba.
Este gusano utiliza dos vías de propagación, bien introduciéndose en páginas web legítimas en forma de un archivo ZIP autoextraíble o un programa para evaluar el coeficiente intelectual, o bien usando medios extraíbles como puedan ser las memorias USB. Ha sido este segundo método, el principal responsable de su rápida propagación, la cual, según los últimos datos recibidos, esperamos que siga creciendo.
Es curioso y atípico encontrar, a día de hoy, ejemplares de malware como el aquí descrito. Muestras como esta pertenecen a la vieja escuela de creadores de virus, que no perseguían (en su mayoría) un fin económico. En este caso en concreto, tampoco vemos mucha sofisticación a la hora de escribir el código ya que ni siquiera cifra el contenido del disco atacado y tan solo busca corromper el MBR.
Aquellos usuarios que utilicen soluciones actualizadas de ESET como ESET NOD32 Antivirus y ESET Smart Security pueden estar tranquilos, ya que este gusano está detectado y su solución de seguridad podrá eliminarlo sin problemas. En el caso de que lo necesitase, ESET ha puesto a disposición de los usuarios una herramienta de limpieza específica para esta amenaza.
Aunque las nuevas amenazas tienen un nivel de propagación muy elevada, no debemos olvidar que códigos maliciosos diseñados a la antigua usanza también pueden beneficiarse de los medios de interconexión entre ordenadores y la velocidad de las redes actuales. Asimismo, amenazas de este tipo nos recuerdan la importancia de realizar copias de seguridad de nuestros discos para evitar perder información valiosa en el caso de que sufran algún daño.
Autor: Josep Albors (Jefe Técnico de Ontinet.com). Especial para EnciclopediaVirus
Fuente: EnciclopediaVirus
Aunque originalmente este gusano tenía como objetivo una asociación de moteros del centro de Eslovaquia, en el momento de publicar esta noticia, ya se había extendido a varios países europeos (entre los que se incluye España), EE.UU. y Tailandia.
Los laboratorios de ESET han conseguido identificar dos variantes de este gusano, conocidas como Win32/Zimuse.A y Win32/Zimuse.B, variantes que difieren en el modo de propagación y el tiempo de activación. Mientras la variante A necesita 10 días antes de empezar a propagarse usando dispositivos USB, la variante B tan solo necesita 7 días. En cuanto a la ejecución de la rutina que deja los discos inservibles, la variante A tarda 40 días en activarse mientras que la variante B reduce este tiempo a la mitad. No obstante, si se usa un método de desinfección inadecuado, el gusano activa inmediatamente su rutina destructiva, como si hubiésemos cortado el cable equivocado al tratar de desactivar una bomba.
Este gusano utiliza dos vías de propagación, bien introduciéndose en páginas web legítimas en forma de un archivo ZIP autoextraíble o un programa para evaluar el coeficiente intelectual, o bien usando medios extraíbles como puedan ser las memorias USB. Ha sido este segundo método, el principal responsable de su rápida propagación, la cual, según los últimos datos recibidos, esperamos que siga creciendo.
Es curioso y atípico encontrar, a día de hoy, ejemplares de malware como el aquí descrito. Muestras como esta pertenecen a la vieja escuela de creadores de virus, que no perseguían (en su mayoría) un fin económico. En este caso en concreto, tampoco vemos mucha sofisticación a la hora de escribir el código ya que ni siquiera cifra el contenido del disco atacado y tan solo busca corromper el MBR.
Aquellos usuarios que utilicen soluciones actualizadas de ESET como ESET NOD32 Antivirus y ESET Smart Security pueden estar tranquilos, ya que este gusano está detectado y su solución de seguridad podrá eliminarlo sin problemas. En el caso de que lo necesitase, ESET ha puesto a disposición de los usuarios una herramienta de limpieza específica para esta amenaza.
Aunque las nuevas amenazas tienen un nivel de propagación muy elevada, no debemos olvidar que códigos maliciosos diseñados a la antigua usanza también pueden beneficiarse de los medios de interconexión entre ordenadores y la velocidad de las redes actuales. Asimismo, amenazas de este tipo nos recuerdan la importancia de realizar copias de seguridad de nuestros discos para evitar perder información valiosa en el caso de que sufran algún daño.
Autor: Josep Albors (Jefe Técnico de Ontinet.com). Especial para EnciclopediaVirus
Fuente: EnciclopediaVirus
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!