Gusano llamado Gibe/Swen se propaga rápidamente al simular ser de Microsoft


24 de Septiembre de 2003

Gibe o Swen se propaga a través del correo electrónico, de programas de intercambio de archivos (P2P), de unidades de red compartidas y por los canales de IRC.

El gusano intenta engañar al usuario para que se crea que es una actualización de seguridad de Microsoft, este aspecto del gusano está logrando engañar a miles de usuarios que al final optan por instalar el ejecutable que adjunta el mensaje creyendo que se trata de un parche oficial de Microsoft, provocando en realidad la infección de su sistema.

Como engaña al usuario y como reconocerlo? Por un correo electrónico y donde simula a la perfección la apariencia de la página web de Microsoft y cuyo remitente es de los servicio de Microsoft donde informa al usuario de que debe instalar el ejecutable que adjunta, para proteger su sistema contra las últimas amenazas de seguridad.
Los servicios de Microsoft con los que intenta engañar son;
MS Technical Assistance, Microsoft Internet Security Section, etc.

Propiedades de algunos ejemplos de los mensajes:

- Ejemplo 1:

De: "microsoft network message delivery service"
Para: "network user"
Asunto: undeliverable message
Datos adjuntos: caeste.exe

- Ejemplo 2:

De: "Technical Services"
Para: "Consumer"
Asunto: New Microsoft Security Patch
Datos adjuntos: [nombre al azar].exe

- Ejemplo 3:

De: MS Program Security Center
Asunto: Current Network Critical Patch
Para: Microsoft Corporation Client
Datos adjuntos: [nombre al azar].exe

- Ejemplo 4:

De: ms inet mail storage service
Asunto: [vacío]
Para: network receiver
Datos adjuntos: [nombre al azar].exe

Texto del mensaje de correo:

Microsoft Consumer

this is the latest version of security update, the
"September 2003, Cumulative Patch" update which eliminates
all known security vulnerabilities affecting
MS Internet Explorer, MS Outlook and MS Outlook Express
as well as three newly discovered vulnerabilities.
Install now to help protect your computer.
This update includes the functionality =
of all previously released patches.

System requirements: Windows 95/98/Me/2000/NT/XP
This update applies to:
- MS Internet Explorer, version 4.01 and later
- MS Outlook, version 8.00 and later
- MS Outlook Express, version 4.01 and later

Recommendation: Customers should install the patch =
at the earliest opportunity.
How to install: Run attached file. Choose Yes on displayed
dialog box.
How to use: You don"t need to do anything after installing
this item.

Texto de la versión HTML:

MS Client

this is the latest version of security update, the
"September 2003, Cumulative Patch" update which
eliminates all known security vulnerabilities
affecting MS Internet Explorer, MS Outlook and MS
Outlook Express as well as three newly discovered
vulnerabilities. Install now to help protect your
computer. This update includes the functionality of
all previously released patches.

System requirements
Windows 95/98/Me/2000/NT/XP

This update applies to
MS Internet Explorer, version 4.01 and later
MS Outlook, version 8.00 and later
MS Outlook Express, version 4.01 and later

Recommendation
Customers should install the patch at the earliest
opportunity.

How to install
Run attached file. Choose Yes on displayed dialog
box.

How to use
You don"t need to do anything after installing this
item.

Microsoft Product Support Services and Knowledge
Base articles can be found on the Microsoft
Technical Support web site. For security-related
information about Microsoft products, please visit
the Microsoft Security Advisor web site, or Contact
Us.

Thank you for using Microsoft products.

Please do not reply to this message. It was sent
from an unmonitored e-mail address and we are unable
to respond to any replies.

----------------------------------------------------
The names of the actual companies and products
mentioned herein are the trademarks of their
respective owners.
----------------------------------------------------

También puede fingir ser un mensaje rechazado por el servidor de correo, tipo:
Remite: Email Delivery Service
Asunto: Returned Response
Cuerpo: Undeliverable mail to dirección de correo.


Al ejecutar el adjunto también engaña al usuario con una falsa instalación del supuesto parche, a su vez el gusano actúa bloqueando todos los cortafuegos y programas antivirus instalados en el PC de la víctima, pero también deshabilita las herramientas de monitorización del sistema junto al editor de Registro de Windows, dejando nuestra máquina en peligro a otros ataques.



Herramientas para limpiar el gusano;

F-Secure Disinfection Tool (Recomendada)
ftp://ftp.europe.f-secure.com/anti-virus/tools/swentool.com 

Symantec W32.Swen.A@mm Removal Tool
http://www.symantec.com/avcenter/FixSwen.exe

McAfee AVERT Stinger
http://download.nai.com/products/mcafee-avert/stinger.exe

Future Time Srl (NOD 32)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=SwenA


Por ultimo y para prevenir otros gusanos se aconseja tener su antivirus actualizado y el uso de un cortafuegos;

http://www.seguridadenlared.org/es/antivirus.php
http://www.seguridadenlared.org/es/firewall.php
http://seguridad.internautas.org/