Llega adjunto en un mensaje con el nombre de archivo «readme.exe», o
intenta descargarse al visitar la página web de un servidor infectado.
En estas primeras horas ya se contabilizan por miles las infecciones
en todo el mundo.
Cómo medida preventiva, los usuarios deben borrar cualquier mensaje
que llegue con un archivo adjunto con el nombre de «readme.exe». Si al
entrar en una página web aparece un cuadro de diálogo donde pregunta
si deseamos abrir o guardar un archivo, debemos elegir la opción cancelar.
Su enorme capacidad de propagación se debe a que infecta y se difunde
aprovechando tanto las infecciones entre clientes (módulo readme.exe)
cómo a través de servidores Web basados en Internet Information Server
(módulo Admin.dll). Entre otras características también destaca la
compartición de la unidad C: en los sistemas infectados. A grandes
rasgos, podríamos hablar de una suma entre SirCam y CodeRed.
En estos momentos nos encontramos analizando el espécimen, gracias a
muestras que nos han llegado directamente a nuestros buzones y las
remitidas por Oscar Conesa, de EsCERT-UPC, junto a un análisis
preliminar.
En las próximas horas emitiremos un análisis más completo, hasta
entonces solicitamos a los usuarios que extremen las precauciones
en la recepción de archivos adjuntos a través de e-mail y en las
descargas automáticas vía Web.
Los administradores de servidores con Internet Information Server
deberán comprobar que no se encuentran infectados, hecho que sólo
sucederá en sitios webs no actualizados, ya que el gusano explota
una antigua vulnerabilidad basada en la escalada de directorios
con caracteres Unicode.
bernardo@hispasec.com
Deja un comentario