Alerta de Virus W32.Sobig.A

Alerta de virus

Alerta del Equipo de Seguridad de PSS - Nuevo gusano: W32.Sobig.A y Variantes

Gravedad: Moderada

Fecha: 20 de Agosto de 2003

Productos afectados: Microsoft Outlook, Microsoft Outlook Express, y Correo electrónico basado en web

DESCRIPCIÓN:

El Equipo de Seguridad de PSS lanza esta nueva alerta para avisar a los usuarios de la existencia de W32.Sobig.A y sus variantes. Sobig.A y sus variantes se propagan via correo electrónico y recursos compartidos de la red. El Equipo de Seguridad de Microsoft Product Support Services (PSS) emite este comunicado a los usuarios para que estén alerta con respecto a este virus y sus variantes, puesto que se propaga de forma descontrolada. Se recomienda a todos los usuarios que lean esta información y adopten las medidas más adecuadas para sus entornos.

IMPACTO DEL ATAQUE:

Propagación masiva a través del correo electrónico.

DETALLES TÉCNICOS:

W32/Sobig.A@MM se propaga a través del correo electrónico y los recursos compartidos de la red. Este gusano normalmente asume una identidad de correo que termina en @microsoft.com. Muchas de las direcciones de correo son direcciones válidas que se están suplantando para fines perversos. Microsoft no envía nunca correo no solicitado a sus clientes que contenga archivos adjuntos. La información sobre la respuesta oficial de Microsoft a toda clase de virus de esta naturaleza está disponible en www.microsoft.com/technet/security/news/patch_hoax.mspx

Las características de los mensajes dependen de la variante del virus Sobig que se trate. Se puede encontrar información técnica más detallada sobre cada variante, ofrecida por los miembros de VIA (Microsoft Virus Information Alliance) en los siguientes enlaces:

Computer Associates

SoBig.A: http://www3.ca.com/virusinfo/virus.aspx?ID=13983
SoBig.B: http://www3.ca.com/virusinfo/virus.aspx?ID=35204
SoBig.C: http://www3.ca.com/virusinfo/virus.aspx?ID=35347
SoBig.D: http://www3.ca.com/virusinfo/virus.aspx?ID=35549
SoBig.E: http://www3.ca.com/virusinfo/virus.aspx?ID=35652
SoBig.F: http://www3.ca.com/virusinfo/virus.aspx?ID=36376

Network Associates:

SoBig.A: http://vil.nai.com/vil/content/v_99950.htm
SoBig.B: http://vil.nai.com/vil/content/v_100307.htm
SoBig.C: http://vil.nai.com/vil/content/v_100343.htm
SoBig.D: http://vil.nai.com/vil/content/v_100397.htm
SoBig.E: http://vil.nai.com/vil/content/v_100429.htm
SoBig.F: http://vil.nai.com/vil/content/v_100561.htm

Trend Micro:

SoBig.A: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.A
SoBig.B: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.B
SoBig.C: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.C
SoBig.D: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.D
SoBig.E: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.E
SoBig.F: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F

Symantec:

SoBig.A: http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.a@mm.html
SoBig.B: http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.b@mm.html
SoBig.C: http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.c@mm.html
SoBig.D: http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.d@mm.html
SoBig.E: http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.e@mm.html
SoBig.F: http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html

Sybari:

SoBig.A: http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Sobig@MM
SoBig.C: http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Sobig.c@MM
SoBig.E: http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Sobig.E@mm
SoBig.F: http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Sobig-F

PREVENCIÓN:

1. Bloquee los tipos de archivos adjuntos dañinos en sus pasarelas de correo Internet. Para este gusano en concreto, los clientes deben bloquear todos los archivos adjuntos con extensión .PIF (nota: la extensión del nombre de archivo puede aparecer truncada como .pi en algunos casos)

2. Asegúrese de que se realizan las siguientes acciones preventivas:

Outlook 2000 post SP2 y Outlook XP SP1 incluyen las actualizaciones más recientes para mejorar la seguridad en Outlook y otros programas de Microsoft Office. Esto incluye la funcionalidad de bloquear los tipos de archivos potencialmente destructivos enviados como adjuntos. Si está utilizando alguna de estas versiones, por defecto bloquearán los archivos adjuntos y no será posible abrirlos.

Para asegurarse de que está utilizando la última versión de Office visite:

http://office.microsoft.com/ProductUpdates/default.aspx

Por defecto, Outllok 2000 pre-SR1 y Outlook 98 no incluían esta funcionalidad, pero puede obtenerse instalando la Actualización de Seguridad de Outlook para Correo Electrónico. Se puede leer más información sobre esta Actualización de Seguridad de Outlook en:

http://office.microsoft.com/Downloads/2000/Out2ksec.aspx

Para saber qué tipos de archivos adjuntos quedan bloqueados por Outlook, por favor léase este artículo de la Knowledge Base:

http://support.microsoft.com?kbid=290497

Outlook Express 6 puede configurarse para bloquear el acceso a archivos adjuntos potencialmente peligrosos. La información acerca de cómo configurarlo puede encontrarse en:

http://support.microsoft.com?kbid=291387

Outlook Express y resto de versiones: las versiones anteriores de Outlook Express no disponen de funcionalidad de bloqueo de attachments. Por favor, extreme las precauciones al abrir correos no solicitados con archivos adjuntos.

Programas de correo basado en web: el uso de un firewall de nivel de aplicación puede protegerle de la infección de este virus a través de programas de correo con interfaz Web,

RECUPERACIÓN:

Si su máquina está infectada por este virus, actualice sus archivos de firmas de virus para detectarlo y eliminarlo. Si necesita asistencia técnica, por favor, contacte con el Servicio de Soporte de Producto de Microsoft (PSS) o con su vendedor de software antivirus habitual.

ARTÍCULOS DE LA KB RELACIONADOS:

http://support.microsoft.com/default.aspx?scid=kb;es-es;821454


Como siempre, recomendamos asegurarse de que se está utilizando un software de detección Antivirus actualizado, proporcionado por su fabricante de software antivirus para detectar nuevos virus y sus variantes.

Para más información puede ponerse en contacto con el departamento de Atención al Cliente de Microsoft en el teléfono 902 197 198 ó 91 353 69 60 si llama desde Madrid capital.