Blackworm Han sido emitidas alertas por Microsoft y otras firmas de seguridad sobre la aparición del gusano de Internet Blackworm también conocido con el nombre de Nyxem.E , Mywife, Kama Sutra o Blackmal, el cual tiene como objetivo destruir archivos en los equipos el 3 de febrero de 2006. • ¿Qué es el gusano Blackworm? • ¿Cómo lo identifico en el equipo? • ¿Cómo actúa el gusano? • ¿Cómo lo elimino? • ¿Cómo prevengo la infección? • Animación ¿Qué es el gusano Blackworm? Blackworm es un gusano de correo electrónico masivo que intenta propagarse a través de recursos compartidos. El gusano deshabilita el software relacionado con seguridad y software de compartición de archivos así como también destruye algunos archivos. El gusano logró eliminar todos los archivos de Word, PowerPoint y Excel en los equipos afectados en su fecha de activación el 3 de Febrero de 2006. ¿Cómo lo identifico en el equipo? Si has sido infectado por este gusano, tu equipo puede experimentar las siguientes molestias: • Bloqueo del ratón y del teclado. • Desactivación del antivirus y del firewall. • Borrado de archivos relacionados con herramientas de seguridad instaladas en el sistema. ¿Cómo actúa el gusano? • Crea varias llaves en el registro para ejecutarse cada vez que inicia el equipo. • Elimina llaves en el registro para evitar que vuelvan a iniciar determinadas aplicaciones de seguridad en el sistema (antivirus, firewalls, etc). • Obtiene direcciones de correo electrónico para seguir propagándose. • Crea un archivo .zip en el sistema utilizando el mismo nombre del archivo del cual proviene, crea además copias de si mismo en diversas locaciones del sistema. • Destruye archivos con diversas extensiones: .doc, .xls, .mdb, .ppt, .zip, .rar, .pdf, o .psd, entre otros, cada tercer día de cada mes. • Muestra mensajes falsos de actualizaciones al software antivirus. ¿Cómo lo elimino? Para ayudar a los usuarios que fueron afectados por este gusano, diversas firmas antivirus han desarrollado una herramienta para eliminarlo, las cuales pueden ser descargadas en: http://securityresponse.symantec.com/avcenter/venc/data/w32.blackmal@mm.removal.tool.htm http://www.nod32.it/cgi-bin/mapdl.pl?tool=VBClean ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip Si el equipo se encuentra infectado se recomienda reiniciar el equipo al terminar de utilizar la herramienta y ejecutarla una vez más. También se pueden usar herramientas de búsqueda y eliminación de virus en línea como: http://www.pandasoftware.com/products/activescan.htm http://housecall.trendmicro.com http://onecare.live.com/site/es-es/default.htm http://onecare.live.com/site/es-es/default.htm ¿Cómo prevengo la infección? Para prevenir la infección por parte de este gusano de Internet se recomienda: • Actualizar el sistema constantemente. La principal razón por la que un gusano de Internet infecta un equipo es debido a la existencia de las vulnerabilidades no actualizadas, por lo que es indispensable instalar las actualizaciones de seguridad más recientes. Para mayor información consulte el documento Métodos y herramientas de actualización: http://www.seguridad.unam.mx/usuario-casero/secciones/herramientas.dsc • Instalar y actualizar un software antivirus Es necesario instalar, administrar y actualizar un software antivirus de forma correcta, pero no debe ser el único software de seguridad en el equipo. Para mayor información consulte el documento Software antivirus: http://www.seguridad.unam.mx/usuario-casero/secciones/antivirus.dsc • Instalar un firewall Un firewall permite mantener protegido al equipo en el caso de que no se encuentre actualizado, pero esto no quiere decir que solo debamos instalarlo y olvidarnos de actualizar el sistema debido a que un firewall también puede presentar vulnerabilidades de seguridad. El firewall actuará como una barrera de protección entre el equipo y el Internet, por lo tanto, solo los programas y aplicaciones que se configuren en el firewall podrá salir a Internet o acceder desde el Internet al equipo. De esta forma, si algún gusano de Internet intenta acceder desde el Internet hacia el equipo, el firewall evitará su acceso al mismo. Para mayor información consulte el documento Firewall: http://www.seguridad.unam.mx/usuario-casero/secciones/firewall.dsc • Tener cuidado al abrir archivos adjuntos Debes de ser cuidadoso cuando al abrir los archivos adjuntos contenidos en un correo electrónico aunque provengan de fuentes confiables. En el caso del gusano Blackworm el tema del correo y el archivo adjunto están en idioma inglés. Se recomienda que descargues el archivo adjunto de forma local y ejecutes un software antivirus para examinarlo. Para mayor información consulte el documento Buenas prácticas de seguridad: http://www.seguridad.unam.mx/usuario-casero/secciones/bpracticas.dsc Revisión histórica • Liberación original: 2 de febrero de 2006 • Última revisión: 16 de junio de 2008 El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a: • Jesús Ramón Jiménez Rojas • Juan López Morales • Christian Calderón Hernández • Oscar Raúl Ortega Pacheco Para mayor información acerca de éste documento de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Cómputo DGSCA - UNAM E-Mail: seguridad@seguridad.unam.mx http://www.cert.org.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel: 56 22 81 69 Fax: 56 22 80 43