Este informe fue elaborado especialmente por la empresa ESET .com debido a que el malware Cimuz/Mespam se expande a través de los principales canales de comunicación de los usuarios (msn, gtalk, etc.) y utiliza también los sitios web que el usuario visita.
¡Aprendé cómo protegerte y limpiar tu Pc!
Como venimos demostrando en el último tiempo, la Ingeniería Social ha adquirido alta relevancia en el mundo del malware para logar engañar a los usuarios de distintos servicios web.
En esta oportunidad nos ocupa un gusano/troyano que ratifica esta postura, explotando la mayoría de los servicios que utiliza el usuario para beneficio propio. Se trata del malware Cimuz, también detectado como una variante modificada del gusano Nuwar (otras casas antivirus lo denominan: Mespam, Zhelatin y Difisim).
Esta amenaza es un gusano/troyano con capacidades para el manejo de conexiones de red y es capaz de controlar las comunicaciones que se realizan en el equipo infectado a través de la modificación de servicios relacionados al sistema (LSP – Layered Service Provider).
Como otros tantos troyanos del mismo tipo, Cimuz también es capaz de descargar sus propias actualizaciones desde Internet, de forma similar a las ya vista en Bagle, y sumando a esto capacidades de polimorfismo que le permiten “ser distinto” en cada descarga, intentando engañar así a los antivirus con capacidades proactivas limitadas.
Como si esto fuera poco, incorpora funcionalidades de rootkit que le permiten ocultar sus procesos al sistema operativo y a las herramientas de seguridad. Además intenta detener los procesos de estas herramientas (antivirus, firewall, etc.).
Dependiendo de la versión analizada puede crear distintos archivos en el sistema y agregar o modificar claves en el registro de Windows, lo que le permiten realizar las acciones previamente mencionadas.
Con respecto a los daños ocasionados y visibles para el usuario, los mismos se basan en sus múltiples capacidades de reproducción utilizando los servicios de red mencionados.
Como es costumbre utiliza el spam como medio de propagación llegando, por ejemplo en mensajes de invitación a servicios o postales como se pueden ver en la siguiente imagen:
]
Imagen 1 – Correo con mensaje engañoso para descargar un malware
Además de este método que ya se ha vuelto de moda en el malware actual, Cimuz también usa servicios de mensajería instantánea para lograr sus objetivos. Los servicios actualmente utilizados incluyen GoogleTalk, Yahoo! Messenger y AOL Instant Messenger, pero no se debe descartar la utilización del popular MSN Messenger.
Para la realización del engaño, el gusano auto-envía mensajes a los contactos de nuestra lista. De esta forma el usuario desprevenido (o demasiado curioso) hace clic en el enlace enviado, descargando el malware e infectando su equipo.
Aquí puede verse una imagen de esa situación:
]
Imagen 2 – Mensajero recibiendo un mensaje desde un usuario infectado
Como puede verse en el mensaje y el engaño asociado, luce similar que el recibido en el caso del correo electrónico.
Por último y como condimento original de este gusano, al tener la capacidad de interferir las
comunicaciones del usuario, puede realizar modificaciones en las páginas visitadas por el mismo.
Esta funcionalidad es aprovechada para auto-agregarse a los mensajes de correo electrónico tipeados por el usuario en los servicios de webmail. El mensaje será modificado por el troyano para incluir un texto similar al ya visto en las imágenes anteriores. De esta forma el usuario que recibe un correo “legal” de un usuario “legal”, no sospechará al ver el link con el engaño.
Los servicios afectados actualmente son earthlink.net, hotmail.msn.com, lycos.com, mail.google.com (gmail), mail.yahoo.com, webmail.aol.com y otros menos populares. Es importante destacar que estos servicios no son los afectados, ni los responsables, sino el usuario que ha infectado su sistema, y por lo cual el troyano mantiene el control de los servicios de redes.
Como repetimos siempre es importante no dejarse llevar por la curiosidad de la cual se aprovechan este tipo de malware y la educación forma parte vital de este camino hacia la prevención.
Remoción
Es importante contar con un antivirus con capacidades proactivas que detecte el malware antes de que la infección ocurra. Esto es fundamental, ya que al desinfectar un sistema, nada asegura que el mismo responderá igual que antes de la infección. Debemos recordar que la función primaria de un antivirus es detectar y luego como funcionalidad deseable la remoción.
Aún así si es infectado, se deben seguir algunos pasos básicos para la eliminación:
* Desactivar la restauración automática del sistema de Windows Me o Windows XP. Con esto aseguramos que ciertos archivos del sistema que hayan sido infectados no se restauren luego de la desinfección, y por ende la misma continúe.
Para desactivar la restauración automática vaya a propiedades de Mi PC y busque esta opción en una de las pestañas de la ventana que se abre.
Recuerde volver a su estado normal esta opción luego de la desinfección.
* Reinicie el sistema a modo prueba de fallos. Esto hace que sólo se ejecuten archivos fundamentales del sistema, y por lo tanto, es poco probable que el malware arranque al inicio del mismo.
Para reiniciar a MPF presione F8 al encender su computadora. Aparecerá un menú desde donde podrá elegir esta opción.
* Inicie el Editor de Registro de Windows e elimine las claves necesarias desde la Clave Run ubicada en:
HKeyCurrentUser\Software\Microsoft\Windows\Current Version\Run
HKeyLocalMachine\Software\Microsoft\Windows\Curren tVersion\Run
Estas claves informan al sistema los programas que deben arrancar al iniciar Windows y es muy utilizado por el malware en general. En el panel derecho del editor, debe eliminar los programas que Usted no conozca y que no desee que se ejecuten.
Para ejecutar el editor de registro vaya a Inicio, Ejecutar y luego escriba “regedit” sin las comillas. Luego de finalizados los cambios cierre el editor.
* Reinicie el sistema, instale y/o actualice su antivirus y haga un rastreo/scaneo completo del sistema en busca de los archivos infectados, dañados o agregados para eliminar los archivos dañinos del malware.
Nota Importante: tenga en cuenta que los anteriores son pasos básicos y generales que se siguen ante cualquier infección, por lo que pueden aplicarse a una amplia variedad de malware. Más allá de eso, muchos otros utilizan técnicas avanzadas que evitan estas acciones o pueden hacer que las mismas no funcionan en el 100% de los casos.
Más información:
http://securitywatch.eweek.com/explo...log_posts.html
http://www.enciclopediavirus.com/vir...us.php?id=3785
http://www.enciclopediavirus.com/vir...us.php?id=3546
bueno amigos espero que esta info les sea de utilidad
saludos
GADORCHA
¡Aprendé cómo protegerte y limpiar tu Pc!
Como venimos demostrando en el último tiempo, la Ingeniería Social ha adquirido alta relevancia en el mundo del malware para logar engañar a los usuarios de distintos servicios web.
En esta oportunidad nos ocupa un gusano/troyano que ratifica esta postura, explotando la mayoría de los servicios que utiliza el usuario para beneficio propio. Se trata del malware Cimuz, también detectado como una variante modificada del gusano Nuwar (otras casas antivirus lo denominan: Mespam, Zhelatin y Difisim).
Esta amenaza es un gusano/troyano con capacidades para el manejo de conexiones de red y es capaz de controlar las comunicaciones que se realizan en el equipo infectado a través de la modificación de servicios relacionados al sistema (LSP – Layered Service Provider).
Como otros tantos troyanos del mismo tipo, Cimuz también es capaz de descargar sus propias actualizaciones desde Internet, de forma similar a las ya vista en Bagle, y sumando a esto capacidades de polimorfismo que le permiten “ser distinto” en cada descarga, intentando engañar así a los antivirus con capacidades proactivas limitadas.
Como si esto fuera poco, incorpora funcionalidades de rootkit que le permiten ocultar sus procesos al sistema operativo y a las herramientas de seguridad. Además intenta detener los procesos de estas herramientas (antivirus, firewall, etc.).
Dependiendo de la versión analizada puede crear distintos archivos en el sistema y agregar o modificar claves en el registro de Windows, lo que le permiten realizar las acciones previamente mencionadas.
Con respecto a los daños ocasionados y visibles para el usuario, los mismos se basan en sus múltiples capacidades de reproducción utilizando los servicios de red mencionados.
Como es costumbre utiliza el spam como medio de propagación llegando, por ejemplo en mensajes de invitación a servicios o postales como se pueden ver en la siguiente imagen:
]
Imagen 1 – Correo con mensaje engañoso para descargar un malware
Además de este método que ya se ha vuelto de moda en el malware actual, Cimuz también usa servicios de mensajería instantánea para lograr sus objetivos. Los servicios actualmente utilizados incluyen GoogleTalk, Yahoo! Messenger y AOL Instant Messenger, pero no se debe descartar la utilización del popular MSN Messenger.
Para la realización del engaño, el gusano auto-envía mensajes a los contactos de nuestra lista. De esta forma el usuario desprevenido (o demasiado curioso) hace clic en el enlace enviado, descargando el malware e infectando su equipo.
Aquí puede verse una imagen de esa situación:
]
Imagen 2 – Mensajero recibiendo un mensaje desde un usuario infectado
Como puede verse en el mensaje y el engaño asociado, luce similar que el recibido en el caso del correo electrónico.
Por último y como condimento original de este gusano, al tener la capacidad de interferir las
comunicaciones del usuario, puede realizar modificaciones en las páginas visitadas por el mismo.
Esta funcionalidad es aprovechada para auto-agregarse a los mensajes de correo electrónico tipeados por el usuario en los servicios de webmail. El mensaje será modificado por el troyano para incluir un texto similar al ya visto en las imágenes anteriores. De esta forma el usuario que recibe un correo “legal” de un usuario “legal”, no sospechará al ver el link con el engaño.
Los servicios afectados actualmente son earthlink.net, hotmail.msn.com, lycos.com, mail.google.com (gmail), mail.yahoo.com, webmail.aol.com y otros menos populares. Es importante destacar que estos servicios no son los afectados, ni los responsables, sino el usuario que ha infectado su sistema, y por lo cual el troyano mantiene el control de los servicios de redes.
Como repetimos siempre es importante no dejarse llevar por la curiosidad de la cual se aprovechan este tipo de malware y la educación forma parte vital de este camino hacia la prevención.
Remoción
Es importante contar con un antivirus con capacidades proactivas que detecte el malware antes de que la infección ocurra. Esto es fundamental, ya que al desinfectar un sistema, nada asegura que el mismo responderá igual que antes de la infección. Debemos recordar que la función primaria de un antivirus es detectar y luego como funcionalidad deseable la remoción.
Aún así si es infectado, se deben seguir algunos pasos básicos para la eliminación:
* Desactivar la restauración automática del sistema de Windows Me o Windows XP. Con esto aseguramos que ciertos archivos del sistema que hayan sido infectados no se restauren luego de la desinfección, y por ende la misma continúe.
Para desactivar la restauración automática vaya a propiedades de Mi PC y busque esta opción en una de las pestañas de la ventana que se abre.
Recuerde volver a su estado normal esta opción luego de la desinfección.
* Reinicie el sistema a modo prueba de fallos. Esto hace que sólo se ejecuten archivos fundamentales del sistema, y por lo tanto, es poco probable que el malware arranque al inicio del mismo.
Para reiniciar a MPF presione F8 al encender su computadora. Aparecerá un menú desde donde podrá elegir esta opción.
* Inicie el Editor de Registro de Windows e elimine las claves necesarias desde la Clave Run ubicada en:
HKeyCurrentUser\Software\Microsoft\Windows\Current Version\Run
HKeyLocalMachine\Software\Microsoft\Windows\Curren tVersion\Run
Estas claves informan al sistema los programas que deben arrancar al iniciar Windows y es muy utilizado por el malware en general. En el panel derecho del editor, debe eliminar los programas que Usted no conozca y que no desee que se ejecuten.
Para ejecutar el editor de registro vaya a Inicio, Ejecutar y luego escriba “regedit” sin las comillas. Luego de finalizados los cambios cierre el editor.
* Reinicie el sistema, instale y/o actualice su antivirus y haga un rastreo/scaneo completo del sistema en busca de los archivos infectados, dañados o agregados para eliminar los archivos dañinos del malware.
Nota Importante: tenga en cuenta que los anteriores son pasos básicos y generales que se siguen ante cualquier infección, por lo que pueden aplicarse a una amplia variedad de malware. Más allá de eso, muchos otros utilizan técnicas avanzadas que evitan estas acciones o pueden hacer que las mismas no funcionan en el 100% de los casos.
Más información:
http://securitywatch.eweek.com/explo...log_posts.html
http://www.enciclopediavirus.com/vir...us.php?id=3785
http://www.enciclopediavirus.com/vir...us.php?id=3546
bueno amigos espero que esta info les sea de utilidad
saludos
GADORCHA
