Arriba associat a un missatge amb el nom de fitxer "README.EXE" o bé intenta instal·lar-se quan visitem la pàgina web d'un servidor infectat. Durant aquestes primeres hores els infectats a tot el món ja es compten per milers.
Com a mesura de prevenció, els usuaris han d'esborrar qualsevol missatge que arribi amb un fitxer associat anomenat "README.EXE". Si a l'accedir a una pàgina web surt un missatge on ens pregunta si volem desar o obrir un fitxer, hem d'escollir l'opció cancel·lar.
La seva gran capacitat de propagació bé donada pel fet que infecta i es difon aprofitant tant les infeccions entre clients (mòdul README.EXE) com a traves de servidors web basats en l'Internet Information Server (mòdul ADMIN.DLL). Entre d'altres característiques també destaca la compartició de la unitat C: dels sistemes infectats. Generalitzant podríem dir que es una suma de SirCam i "Code Red".
En aquests moments estem analitzant l'espècimen, gràcies a les mostres que ens han arribat directament a les nostres bústies i a les enviades per Oscar Conesa, de l'EsCERT-UPC conjuntament amb una anàlisi preliminar.
Durant les pròximes hores publicarem una anàlisi més complerta. Fins llavors aconsellem als usuaris augmentar les mesures de prevenció davant la recepció de qualsevol fitxer associat a un missatge i a les baixades de fitxers automàtiques via web.
Els administradors de servidors web que facin servir l'Internet Information Server hauran de comprovar que no estiguin infectats (la infecció només passa als serveis web no actualitzats), ja que el cuc s'aprofita d'una vulnerabilitat relativament antiga basada en l'escalada de directoris amb caràcters Unicode.
Bernardo Quintero
bernardo@hispasec.com
|
