¿Qué es el gusano Blackworm? ¿Cómo lo identifico en el equipo

Anuncio
Blackworm
Han sido emitidas alertas por Microsoft y otras firmas de seguridad sobre la aparición del gusano de Internet
Blackworm también conocido con el nombre de Nyxem.E , Mywife, Kama Sutra o Blackmal, el cual tiene
como objetivo destruir archivos en los equipos el 3 de febrero de 2006.
• ¿Qué es el gusano Blackworm?
• ¿Cómo lo identifico en el equipo?
• ¿Cómo actúa el gusano?
• ¿Cómo lo elimino?
• ¿Cómo prevengo la infección?
• Animación
¿Qué es el gusano Blackworm?
Blackworm es un gusano de correo electrónico masivo que intenta propagarse a través de recursos
compartidos. El gusano deshabilita el software relacionado con seguridad y software de compartición de
archivos así como también destruye algunos archivos.
El gusano logró eliminar todos los archivos de Word, PowerPoint y Excel en los equipos afectados en su
fecha de activación el 3 de Febrero de 2006.
¿Cómo lo identifico en el equipo?
Si has sido infectado por este gusano, tu equipo puede experimentar las siguientes molestias:
• Bloqueo del ratón y del teclado.
• Desactivación del antivirus y del firewall.
• Borrado de archivos relacionados con herramientas de seguridad instaladas en el sistema.
¿Cómo actúa el gusano?
• Crea varias llaves en el registro para ejecutarse cada vez que inicia el equipo.
• Elimina llaves en el registro para evitar que vuelvan a iniciar determinadas aplicaciones de seguridad
en el sistema (antivirus, firewalls, etc).
• Obtiene direcciones de correo electrónico para seguir propagándose.
• Crea un archivo .zip en el sistema utilizando el mismo nombre del archivo del cual proviene, crea
además copias de si mismo en diversas locaciones del sistema.
• Destruye archivos con diversas extensiones: .doc, .xls, .mdb, .ppt, .zip, .rar, .pdf, o .psd, entre otros,
cada tercer día de cada mes.
• Muestra mensajes falsos de actualizaciones al software antivirus.
¿Cómo lo elimino?
Para ayudar a los usuarios que fueron afectados por este gusano, diversas firmas antivirus han desarrollado
una herramienta para eliminarlo, las cuales pueden ser descargadas en:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blackmal@mm.removal.tool.htm
http://www.nod32.it/cgi-bin/mapdl.pl?tool=VBClean
ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip
Si el equipo se encuentra infectado se recomienda reiniciar el equipo al terminar de utilizar la herramienta y
ejecutarla una vez más. También se pueden usar herramientas de búsqueda y eliminación de virus en línea
como:
http://www.pandasoftware.com/products/activescan.htm
http://housecall.trendmicro.com
http://onecare.live.com/site/es-es/default.htm
http://onecare.live.com/site/es-es/default.htm
¿Cómo prevengo la infección?
Para prevenir la infección por parte de este gusano de Internet se recomienda:
• Actualizar el sistema constantemente.
La principal razón por la que un gusano de Internet infecta un equipo es debido a la existencia de las
vulnerabilidades no actualizadas, por lo que es indispensable instalar las actualizaciones de seguridad
más recientes.
Para mayor información consulte el documento
Métodos y herramientas de actualización:
http://www.seguridad.unam.mx/usuario-casero/secciones/herramientas.dsc
• Instalar y actualizar un software antivirus
Es necesario instalar, administrar y actualizar un software antivirus de forma correcta, pero no debe
ser el único software de seguridad en el equipo.
Para mayor información consulte el documento
Software antivirus:
http://www.seguridad.unam.mx/usuario-casero/secciones/antivirus.dsc
• Instalar un firewall
Un firewall permite mantener protegido al equipo en el caso de que no se encuentre actualizado, pero
esto no quiere decir que solo debamos instalarlo y olvidarnos de actualizar el sistema debido a que un
firewall también puede presentar vulnerabilidades de seguridad. El firewall actuará como una barrera
de protección entre el equipo y el Internet, por lo tanto, solo los programas y aplicaciones que se
configuren en el firewall podrá salir a Internet o acceder desde el Internet al equipo. De esta forma, si
algún gusano de Internet intenta acceder desde el Internet hacia el equipo, el firewall evitará su acceso
al mismo.
Para mayor información consulte el documento
Firewall:
http://www.seguridad.unam.mx/usuario-casero/secciones/firewall.dsc
• Tener cuidado al abrir archivos adjuntos
Debes de ser cuidadoso cuando al abrir los archivos adjuntos contenidos en un correo electrónico
aunque provengan de fuentes confiables. En el caso del gusano Blackworm el tema del correo y el
archivo adjunto están en idioma inglés. Se recomienda que descargues el archivo adjunto de forma
local y ejecutes un software antivirus para examinarlo.
Para mayor información consulte el documento
Buenas prácticas de seguridad:
http://www.seguridad.unam.mx/usuario-casero/secciones/bpracticas.dsc
Revisión histórica
• Liberación original: 2 de febrero de 2006
• Última revisión: 16 de junio de 2008
El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo en la elaboración y revisión de
este documento a:
• Jesús Ramón Jiménez Rojas
• Juan López Morales
• Christian Calderón Hernández
• Oscar Raúl Ortega Pacheco
Para mayor información acerca de éste documento de seguridad contactar a:
UNAM CERT Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cómputo DGSCA - UNAM
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43
Descargar