El destructivo Kama Sutra worm tras eliminar archivos en máquinas infectadas con hora y fecha de sistema incorrectas, ha comenzado a afectar algunos miles de usuarios en el mundo. Normalmente este virus esta programado para su primer borrado de archivos este Viernes 3 de Febrero 2006 en máquinas que poseean todos las versiones de windows 32 bits. Ya desde semanas algunos antivirus han reportado sus firmas para detectar este código malicioso. Sabemos que contiene de señuelo un aparente contenido sexual, y bueno miles de usuarios por curiosidad humana y natural caemos en el deseo de abrir dicho adjunto. Tiene un nivel de amenaza muy bajo. Sin embargo, tiene la capacidad de reactivarse. Se aconseja no abrir ningún archivo que provenga de un correo electrónico, ya sea de un remitente dudoso o de personas conocidas. Este es un screenshot de como se presenta el virus, ingrese aquí.
Segun informes, este gusano (worm) ha infectado un estimado de mas de 600,000 maquinas, entre ellos los US, India y Peru que muestran mayor mumero de infecciones, que tambien estan distribuyendo. Este inteligente ya sabemos se distribuye por medio del correo electronico, ademas borra archivos de diversos productos antivirus, y los deja fuera de funcionamiento, entre algunos antivirus atacdos por este gusano se encuntra Symantec Antivirus (norton), McAfeeAV, TrenMicro, AvastAV, KaperskyAV, AVG, PandaAV, LimeWire, y entre otros. Tambien a firewalls personales como Zone Alarm y otros.

Pues asi mismo continen su motor de envio de correo y su extractor de direcciones, posee un agente troyano, del cual se puede enviar órdenes remotamente para ocasionar ataques en demanda hacia un objetivo, me hace recordar un thread que lei en Noviembre 2005 a un troyano de autoría anónimo hasta el momento denominado PhatBot, que por cierto, es un lujo de troyano y considero que cambiará toda la teoría y práctica de los ataques de los virus o codigo malicioso.

Y como ya sabemos los dias 3 de cada mes efectuará el ataque, de distintas formas, este viernes 3, ejecutará su primer ataques en máquinas que poseen la hora y fecha correcta, si sabemos que nuestra máquina esta infectada por que no probar en cambiar la fecha y hora del sistema, es una idea que se me viene a la mente, pero no tengo como experimentarlo.

Hasta el momento no se ha detectado que impida el funcionamiento del Antivirus NOD32, por eso la referencia en este homenaje a este virus, y seria recomendable utilizar este archivo de limpieza,

Aca un perfil de este destructivo virus, inteligente ágil y eficaz, me referire a como encontro mi motor de antivirus:

Nombre: Win32/VB.NEI
Nombre NOD32: Win32/VB.NEI
Tipo: Gusano de Internet (Worm)
Alias: VB.NEI, Blackmail, CME-24, Email-Worm.Win32.Nyxem.e, Email-Worm.Win32.VB.bi, Email-Worm.Win32.VB.BI, I-Worm.VB, I-Worm.VB.bi, Kama, Small.KI@mm, TR/KillAV.GR, Trojan/KillAV.GR, W32.Blackmal.E@mm, W32.Vb.Mi, W32/Generic.worm!p2p, W32/Grew.A!wm, W32/Kapser.A@mm, W32/MyWife.d@MM, W32/MyWife.d@MM!M24, W32/Nyxem-D, W32/Small.KI, W32/Tearec.A.worm, W32/Tearec.A.worm!CME-24, W32/VB.bi, Win32.HLLM.Generic.391, Win32.Nyxem.F@mm, Win32.Worm.P2P.ABM, Win32.Worm.VB.TB, Win32/Blackmal.F, Win32/Blackmal.F!Worm, Win32/Cabinet!Worm, Win32/VB.NEI, Win32:VB-CD, Worm.Vb.Bi, Worm.VB-8, Worm/Generic.FX, Worm/KillAV.GR, Worm/VB.6.AN, WORM_GREW.A
Fecha: 17/ene/06
Actualizado: 02/feb/06
Plataforma: Windows 32-bit
Tamaño: 95,690 bytes (UPX); en adjunto 181 Kb
Herramienta de limpieza: SI

Según un análisis publicado por LURHQ (Threat Intelligence Group), las incidencias reportadas del gusano VB.NEI (más conocido -entre otros nombres-, como Kama Sutra, Nyxem, Blackmal o BlackWorm), no serían tantas como se pensaba. Pero esto no sirve de consuelo a los usuarios ya infectados, desde que una gran cantidad de archivos de su computadora, corren el riesgo de ser “asesinados” por el gusano el próximo 3 de febrero.

VB.NEI posee la característica de reportar sus infecciones a un contador dispuesto en un servidor de Internet. Estas estadísticas llegaron a sumar más de 5 millones de equipos infectados, cuando el 25 de enero se detectó un ataque proveniente de 279 máquinas específicas. El ataque, que se supone premeditado ya que no se ajusta al mecanismo normal que utiliza el gusano, tenía como objetivo “inflar” estas cifras, mediante el acceso reiterativo al contador.

El examen realizado por LURHQ de los registros del servidor donde se encuentra el contador, revela que en realidad la cantidad de equipos infectados podría no superar los 300 mil en todo el mundo. Esto luego que se quitaron las direcciones IP duplicadas que tenían el mismo usuario y cliente de acceso.

Lo interesante es que las estadísticas reflejan que la mayor cantidad de infecciones provienen de la India (79,610), del Perú (54,878) y de Italia (22,710). En Estados Unidos se detectaron 15,270 equipos infectados (al momento de la muestra tomada), y 2,962 en México. El resto se lo reparten los demás países.

Aunque es probable que los datos no sean exactos (se basa en el origen de las direcciones IP, y algunas de ellas pueden ser reasignadas), da una idea global del problema.

Mientras tanto, con datos manejados por el propio laboratorio de VSAntivirus, que muestra los siguientes gráficos, los graficos fueron generados por la empresa Video Soft.

En el primero se refleja la incidencia global del gusano VB.NEI (verde claro) comparada con la de otras amenazas (verde oscuro). Debe tenerse en cuenta que comparamos las alertas de un solo gusano, contra las de todas las demás amenazas, por lo que aunque aparezca como menor, en realidad posee un nivel que podemos considerar al menos como “interesante”.

El segundo gráfico muestra el pico de infecciones entre el domingo 22 y lunes 23 de enero, reportados por el propio sistema de monitoreo de Video Soft (con 70 reportes a las 23:59 del día 22).

Aunque la cantidad de infecciones “reales” a nivel mundial (más de 300 mil máquinas según LURHQ), no parezca muy importante comparándola con las de otros gusanos como Sober o Mydoom, no debemos olvidar que VB.NEI posee una carga destructiva sumamente peligrosa que se activa cada tercer día del mes (el próximo viernes 3 de febrero sería el primer ataque).

En esa fecha, el gusano intentará sobrescribir todos los archivos con extensión .DMP, .DOC, .MDB, .MDE, .PDF, .PPS, .PPT, .PSD, .RAR, .XLS y .ZIP de las máquinas infectadas. Esto ocurrirá en todas las unidades locales y/o compartidas en red.

Como los archivos no son borrados, sino sobrescritos por un determinado texto (DATA Error [47 0F 94 93 F4 K5>), la recuperación de los mismos se puede hacer casi imposible, y solo podrán ser restituidos desde respaldos limpios creados anteriormente. Mantener al día su software antivirus, puede evitarle una desagradable sorpresa.

NOTA: Los gráficos son generados en tiempo real por el administrador de reportes de Eset NOD32 Antivirus.

Más información:

Un articulo interesante:

http://isc.sans.org/diary.php?storyid=1067

Información específica del código malicioso en:

http://www.vsantivirus.com/vb-nei.htm

Borrado manual del virus segun Microsoft:

http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fMywife.E%40mm

Mas sobre este virus en Symantec:

http://www.symantec.com/avcenter/venc/data/w32.blackmal.e@mm.html

Ataque antes de tiempo:

http://www.infobae.com/notas/nota.php?Idx=236152&IdxSeccion=100614

Gracias a todos los que estuvieron interesados en esta información.

Fuentes: Theregister, Security Focus, SANS Institute, LURHQ, ESET-NOD32 AV, VSAntivirus, Symantec, Video Soft.