El gusano Kama Sutra (también conocido como BlackWorm), se está propagando a gran escala.
En este momento el número de usuarios infectados está cercano a los 700.000, lo cual se sabe ya que este gusano se reporta a un servidor que contabiliza la cantidad de infecciones.
[Actualización 26/01/2006 02:15 a.m. Arg]
Si bien en un momento se creyó que la cantidad de infecciones estaban llegando a los dos millones (ver post en Sunbelt Blog), luego de un análisis de esto, en el Blog de SecuriTeam concluyeron que algún "gracioso" (probablemente el autor del gusano) estaba inflando el contador mediante un DDoS (ver post en Blog SecuriTeam via Sunbelt Blog). Se estima entonces, que el número aproximado es de 300.000 infecciones.
El gusano, disfrazado de contenido pornográfico, una vez ejecutado intenta inhabilitar conocidos productos antivirus y cortafuegos, además de propagarse tomando direcciones de correo electrónico de la PC infectada.
Todos los días 3 de cada mes, el gusano destruye ciertos archivos del usuario infectado reemplazándolos con el siguiente string (o cadena de caracteres) "DATA Error [47 0F 94 93 F4 K5]". El gusano atacará los archivos con extensiones DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD y DMP.
El nombre asignado al gusano "Kama Sutra" dependerá del fabricante del antivirus, por lo cual el siguiente listado (provisto por Andreas Marx de AV-Test.org) es de suma utilidad:
AntiVir Worm/KillAV.GR
Avast! Win32:VB-CD [Wrm]
AVG Worm/Generic.FX
BitDefender Win32.Worm.P2P.ABM
ClamAV Worm.VB-8
Command W32/Kapser.A@mm (exact)
Dr Web Win32.HLLM.Generic.391
eSafe Win32.VB.bi
eTrust-INO Win32/Blackmal.F!Worm
eTrust-VET Win32/Blackmal.F
Ewido Worm.VB.bi
F-Prot W32/Kapser.A@mm (exact)
F-Secure Email-Worm.Win32.Nyxem.e
Fortinet W32/Grew.A!wm
Ikarus Email-Worm.Win32.VB.BI
Kaspersky Email-Worm.Win32.Nyxem.e
McAfee W32/MyWife.d@MM
Nod32 Win32/VB.NEI worm
Norman W32/Small.KI
Panda W32/Tearec.A.worm
QuickHeal I-Worm.Nyxem.e
Sophos W32/Nyxem-D
Symantec W32.Blackmal.E@mm
Trend Micro WORM_GREW.A
VBA32 Email-Worm.Win32.VB.bi
VirusBuster Worm.P2P.VB.CIL
Ref.:
http://sunbeltblog.blogspot.com/2006/01/february-3rd-is-possibly-d-day.htmlhttp://sunbeltblog.blogspot.com/2006/01/kama-sutra-worm.htmlhttp://www.f-secure.com/weblog/archives/archive-012006.html#00000787http://isc.sans.org/diary.php?storyid=1067http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=405Herramienta de desinfección de Symantec:
W32.Blackmal@mm Removal ToolArtículo en Sophos (en español):
El gusano Kama Sutra se extiende a gran velocidad
