ALERTA: Virus 5N nos puede afectar el próximo 5 de noviembre

Posted on por

   INTECO y la OSI alertan de un nuevo virus apodado como 5N, el cual podría llevar a cabo acciones dañinas en los equipos infectados para, entre otras cosas, recopilar información o impedir su utilización a partir del 5 de Noviembre de cualquier año.

   El virus ataca a los usuarios de sistemas operativos Windows.

    He encontrado varios informes sobre las formas de ataque del virus:

  • Una vez infectado el equipo, el virus modifica su configuración (el registro de Windows) para garantizar su permanencia en él. Cuando el virus detecte la fecha del 5 de Noviembre mostrará multitud de botones de apagado en puntos aleatorios de la pantalla de forma que si el usuario pulsa en alguno de ellos el equipo se apaga.
  • Gusano para la plataforma Windows que el día 5 de Noviembre de cualquier año vuelve inmanejable el sistema infectado, mostrando una imagen de la careta de Anonymous e impidiendo al usuario usar su equipo a lo largo de ese día.

¿Cómo llega el gusano a nuestro equipo?

  • Descargado sin el conocimiento del usuario al visitar una página Web maliciosa.
  • Descargado de algún programa de compartición de ficheros (P2P).
  • A través de unidades extraíbles infectadas.

¿Qué hace el virus en nuestro equipo?

   Cuando 5N se ejecuta, realiza las siguientes acciones:

  • Ficheros y carpeta

1.- Crea el siguiente fichero (Tamaño: 17M)

«%Windir%system32drmvclt.exe»

2.- Crea el siguiente fichero (Tamaño: 3.072.054)

«%UserProfile%Thumbs.dll»

3.- Crea el siguiente fichero (Tamaño: 17M)

«%UserProfile%drmvclt.exe»

4.- Crea el siguiente fichero (Tamaño: 3.072.054)

«%Root%Thumbs.dll»

  • Crea la siguiente entrada del registro
Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
   Valor: drmvclt = C:WINDOWSsystem32drmvclt.exe
Clave: HKCUSOFTWARE MicrosoftWindowsCurrentVersionrun
   Valor: drmvclt = C:WINDOWSsystem32drmvclt.exe

   El gusano realiza las siguientes acciones:

  • Crea una serie de archivos en el sistema comprometido.
  • Crea una en el registro de Windows para garantizar su permanencia en cada reinicio.
  • Obtiene datos de la instalación del sistema.
  • Se conecta al dominio ftp.drivehq.com para enviar la información capturada.
  • Infecta todos los dispositivos extraíbles que se conecten al equipo.
  • Impide la utilización normal del equipo los días 5 de noviembre.

   La infección en el equipo se produce al ejecutar el fichero drmvclt.exe. Una vez ejecutado realiza las siguientes acciones en el equipo víctima:

  1. Se copia a sí mismo en el sistema.
  2. Modifica el registro de Windows para iniciarse de forma automática en el arranque del sistema.
  3. Infecta los dispositivos extraíbles insertados para infectar otros equipos.
  4. Recopila información del sistema y la manda a un servidor remoto
  5. El archivo una vez enviado es finalmente eliminado por el propio código dañino.

   Si se infecta el equipo con un usuario con privilegios de administración la infección afectará a todos los usuarios que inicien sesión en el Sistema, por el contrario, si el usuario no tiene privilegios, sólo afectará a este usuario.

Prevención

   Evite visitar páginas de origen dudoso, que abran muchas ventanas emergentes, con direcciones extrañas o con aspecto poco fiable. Mantenga actualizado su navegador y su sistema operativo con los últimos parches que vayan publicándose. No olvide tener instalado un antivirus actualizado en sus sistemas.

Detección

   Para detectar si un equipo se encuentra infectado para un usuario concreto, bastaría con iniciar sesión con el mismo usuario y pulsar las teclas «Shift» + «Ctrl» + «Alt» + «F7» y comprobar si aparece una ventana que solicita contraseña. Dicha ventana es invocada por el propio virus y permite introducir una contraseña para detener las acciones del mismo en el sistema. En el caso de introducir una contraseña incorrecta 3 veces procede a apagar el equipo.

   Por tanto, si se mostrara dicha ventana a la hora de pulsar la combinación de teclas descrita anteriormente, serían síntomas de infección.

Desinfección

   Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de «Restauración del Sistema» para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista.

   Otras formas de desinfección e información detallada sobre el virus en las páginas de INTECO y la OSI

http://cert.inteco.es/virusDetail/Actualidad/Actualidad_Virus/Detalle_Virus/5N

http://www.osi.es/es/actualidad/avisos/2012/10/virus-5n-5-de-noviembre

   Recordar que…

   Nosotros mismos somos nuestra peor vulnerabilidad pero también somos nuestro mejor antivirus

X1Red+Segura

FUENTES : INTECO , OSI

email

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *