Ha aparecido un nuevo gusano que simula ser una actualización de Microsoft, este es el Swen o Gibe (W32/Swen.A) y como no, afecta a los sistemas operativos de Microsoft. Se propaga vía mail, IRC, Kazaa, grupos de news, recursos compartidos… Se adueña del Regedit, para que no puedan ser borradas o modificadas las entradas del registro que él mismo se encarga de modificar. Según Hispasec, en estos momentos es el gusano con mayor índice de propagación debido a su aspecto visual, muy conseguido y creible.Por lo tanto, si recibís por mail o por cualquiera de los medios descritos la falsa actualización de Microsoft no la instaléis porque en ese caso os estaréis infectando por el gusano.
En el caso de haberlo ejecutado y tener la maquina infectada esta es la forma de eliminarlo según indican en vsantivirus:
Reparación manual
Descargue y ejecute la herramienta CLNSWEN de Computer Associates:
1. Descargue el siguiente archivo .ZIP en el escritorio:
Cleaning utility for Win32/Swen.A Worm 1.0.0
Copyright (c) 2003, Computer Associates International, Inc.
http://www3.ca.com/Files/VirusInformationAndPrevention/ClnSwen.zip
2. Descomprima el contenido de este archivo en el mismo escritorio, o en la carpeta que usted desee, y haga doble clic sobre el archivo "ClnSwen.com" (IMPORTANTE: debe desactivar antes cualquier antivirus que esté activo).
3. Aguarde que "ClnSwen.com" finalice, y siga las instrucciones para reiniciar el equipo si fuera necesario (este procedimiento puede demorar varios minutos, ya que la herramienta borra al archivo del gusano, y modifica las claves del registro, además de corregir otros cambios hechos por el gusano en el sistema).
Luego de finalizado lo anterior, sugerimos seguir los pasos del procedimiento de limpieza manual para estar seguros de erradicar este gusano de la computadora infectada, ya que el mismo realiza una gran cantidad de modificaciones.
Nota: Si se tienen varias computadoras interconectadas, es necesario reiterar estos pasos en cada una de ellas, desconectándolas previamente de la red.
Otras herramientas de limpieza automática:
McAfee AVERT Stinger (698 Kb)
http://download.nai.com/products/mcafee-avert/stinger.exe
Symantec W32.Swen.A@mm Removal Tool (190 Kb)
http://www.symantec.com/avcenter/FixSwen.exe
F-Secure Disinfection Tool (216 Kb)
ftp://ftp.europe.f-secure.com/anti-virus/tools/swentool.com
PQREMOVE para Gibe.C, de Panda Software (1.2 Mb)
http://updates.pandasoftware.com/pq/gen/gibec/pqremove.com
Future Time Srl (NOD 32) (291 Kb)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=SwenA
Limpieza manual
Identificación del virus
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Tome nota de los archivos infectados, pero NO los borre ni desinfecte
Descargue REPARA2.VSA, siguiendo este procedimiento:
1. Pinche con el botón DERECHO sobre el siguiente enlace y seleccione "Guardar destino como":
http://www.videosoft.net.uy/repara2.vsa
2. Cuando aparezca la ventana "Guardar como", seleccione la carpeta C:WINDOWS o C:WINNT o la que corresponda a su sistema, para guardar el archivo REPARA2.VSA y pulse en el botón "Guardar".
3. Desde Inicio, Ejecutar, escriba lo siguiente más Enter:
REGEDIT REPARA2.VSA
4. Responda afirmativamente la consulta "¿Está seguro que desea agregar la información de REPARA2.VSA al Registro?".
5. Desde Inicio, Ejecutar, escriba REGEDIT más Enter.
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la entrada que haga referencia a los archivos infectados detectados antes por el antivirus (ver "Identificación del virus"):
[nombre al azar] = c:windows[nombre al azar].exe autorun
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
explorer
[cuatro letras al azar]
9. Pinche en la carpeta que tenga 4 letras al azar, y en el panel de la derecha busque las siguientes entradas:
CacheBox Outfit
Install Item
Installed
Mirc Install Folder
Unfile
ZipName
10. Si existen, borre la carpeta cuyo nombre son 4 letras al azar.
11. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Kazaa
LocalContent
12. Pinche en la carpeta "LocalContent" y en el panel de la derecha busque y borre la siguiente entrada:
Dir99
13. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Antivirus
1. Ejecute nuevamente sus antivirus en modo escaneo, revisando todos sus discos duros
2. Borre los archivos detectados como infectados
3. Vuelva a ejecutar la herramienta CLNSWEN de Computer Associates
4. Reinicie su computadora
Información adicional
Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.
http://www.vsantivirus.com/kazaa-antivirus.htm
Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos entre usuarios(P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.
En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).
De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.
El IRC y los virus
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Ver noticia completa en:
http://www.hispasec.com/unaaldia/1790
http://www.vsantivirus.com/swen-a.htm