I-Worm.Swen - CODINE

Estás en Inicio: Soporte Técnico: Alertas de Virus: I-Worm.Swen

I-Worm.Swen« Volver al listado de Virus

Alias:

W32/Swen.A, W32/Gibe-F, Worm.Automat.AHB

Este malicioso programa se propaga a través de correo electrónico, la red de intercambio de archivos Kazaa y los canales del IRC.

El nuevo programa está escrito en Microsoft Visual C++ y ocupa cerca de 107 KB. El gusano se activa en dos casos: si se ejecuta el archivo infectado o cuando el programa de mail contiene la vulnerabilidad de IFrame.FileDownload. El gusano después se instala en el sistema e inicia procedimientos de la propagación.

I-Worm.Swen utiliza la misma vulnerabilidad de Internet Explorer detectada en marzo de 2001 que fue utilizada por otros muchos gusanos bien conocidos, como Klez. Así, una vez que Swen entra en una máquina indefensa y se auto ejecuta.

Infección y carga:

El virus se activa de dos maneras:

1. Si el usuario ejecuta el archivo adjunto.
2. Si no se han instalado los pertinentes parches contra la vulnerabilidad IFrame.FileDownload

Cuando se abre el archivo adjunto la primera vez, aparece una ventana en la pantalla llamada “Microsoft Internet Update Pack” (Paquete de actualización de Microsoft Internet) imitando la instalación de un parche. Al mismo tiempo, el código malévolo bloquea todos los firewalls y anti-virus. A continuación Swen explora el sistema de ficheros del ordenador infectado y extrae todas las direcciones del email, usándolas para enviarse a todas las direcciones disponibles vía una conexión directa a un servidor de STMP. Los mensajes infectados están en formato HTML e incluyen un adjunto que contiene Swen. En algunos casos, el gusano puede enviar copias de sí mismo en formato zip o rar.

Propagación vía correo electrónico:

Los mensajes de correo infectados parecen ser enviados por algunos servicios de Microsoft, incluyendo “MS Technical Assistance”, “Microsoft Internet Security Section”, etc. un mensaje de texto invita al usuario a instalar un “parche especial” de Microsoft, incluido en un archivo adjunto.

Aquí le indicamos algunas caracteristicas de mensajes infectados con el virus I-Worm.Swen:

Algunos ejemplos de remitentes podrian ser estos:

Security@advisor.microsoft.com
Support@updates.ms.net
Bulletin@news.ms.com

Subject (Asunto):

Critical
Current
Internet
Last
Latest
Microsoft
Net
Network
New
Newest
Pack
Patch
Security
Update
Upgrade

Ejemplo de mensajes enviados por el I-Worm.Swen:

Propagación por la red de intercambio de archivos Kazaa:

Swen se propaga a través de Kazaa, programa de intercambio de ficheros, copiándose bajo nombres al azar en el directorio del intercambio del archivo en Kazaa Lite. Además crea un subdirectorio en la Carpeta Temporal de Windows con nombres aleatorios, y hacen varias copias de sí mismo. Este directorio se identifica entonces en el registro de Windows como la fuente para el archivo que comparte el sistema y por tanto, los archivos nuevos creados por Swen llegan a estar disponibles para otros usuarios de la red de Kazaa.

Desinfección:

Primero descargue y ejecute esta utilidad (clrav.com).

Posteriormente actualice su antivirus ejecutando la tarea KAV Updater y a continuación ejecute la tarea escáner con la opción de "preguntar " en caso de detección de virus.

Cuando detecte algún archivo infectado intente desinfectarlo y si esto no es posible o directamente observa claramente que es uno de los archivos creados por el virus, seleccione "borrar", así eliminará cualquier rastro del virus.

Para evitar que le entren virus de este tipo debe instalar las actualizaciones del Internet Explorer y Outlook Express de Microsoft:
http://windowsupdate.microsoft.com

Si tiene problemas con la desinfección del virus y le es imposible desinfectar o borrar algún archivo infectado, adjuntenos el fichero del informe generado por el escaner del antivirus a soporte@codine.es.