BlackWorm

Se ha reportado un alerta sobre los posibles efectos del gusano BlackWorm, el cual se ejecutará el día 3 de cada mes sobreescribiendo archivos de usuarios afectados.

Resumen
Un gusano que se propaga por mail y por carpetas compartidas se ejecutará el dia 3 de cada mes sobreescribiendo archivos de datos de los usuarios afectados.

Versiones Afectadas
El gusano afecta a los entornos Microsoft Windows.

Detalle
Durante la última semana se han detectado más de 700.000 sistemas infectados con el gusano BlackWorm. Se ha determinado que el gusano se ejecutará el día 3 de febrero de 2006 sobreescribiendo archivos de usuario de los siguientes tipos: DOC, XLS, MDE, MDB, PPT, PPS, RAR, PDF, PSD, DMP, ZIP; con el msiguiente mensaje de alerta: 'DATA Error [47 0F 94 93 F4 K5]'.

Las formas de propagación del gusano son vía adjuntos de mensajes de correo electrónico o por archivos compartidos. Una vez que un sistema en la red se ha infectado, tratará de infectar a todos los sistemas de archivos compartidos a los que tenga acceso. Asimismo, se auto distribuirá a través de mensajes de correo, cambiando su nombre y extensión.

Cabe remarcar que una de las formas de notar que un sistema ha sido infectado es si se observa que ha aparecido un nuevo icono de un archivo .zip en el escritorio. Asimismo, el gusano se agregará a la lista de programas del auto-start en el registro del sistema.

El gusano puede detectarse mediante firmas con antivirus actualizados a partir del 23 de enero. De todos modos se debe tener en cuenta que el gusano trata de deshabilitar/remover cualquier antivirus en el sistema (cada hora mientras el sistema está funcionando), por lo que si la máquina fue infectada antes de la actualización de las firmas en el antivirus, éste no podrá limpiar el gusano.

Algunas otras denominaciones que se han otorgado al gusano son: Blackmal, Nyxem, MyWife, Tearec.

Impacto
El impacto de este gusano, en el caso de que su sistema se encuentre infectado, es ALTO.

Recomendaciones
Recomendamos tomar las siguientes acciones:

- Actualizar las firmas en su software de antivirus y revisar su disco en forma completa con el producto actualizado para detectar el gusano en el caso de que se encuentre infectado.
- Realizar copias de seguridad de sus archivos para recuperarlos en caso de que el gusano logre ejecutarse el día 3 de febrero.
- Se han generado firmas para detectar equipos infectados con el gusano para el IDS Snort. Las mismas se pueden obtener en:

http://www.bleedingsnort.com/cgi-bi...EAD&view=markup


Referencias
Para más información sobre este boletín:

SANS:
http://isc.sans.org/blackworm

F-Secure:
http://www.f-secure.com/v-descs/nyxem_e.shtml

Symantec
http://www.symantec.com/avcenter/ve...ckmal.e@mm.html

Herramienta para removerlo
http://securityresponse.symantec.co...moval.tool.html