ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Atirus

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Se trata de un gusano Win32 que se propaga enviándose por correo electrónico a los destinatarios en la libreta de direcciones de Outlook de una víctima.

Cuando se inicia en una PC 'limpia', el gusano se copia a% SYSTEM% Setup30.exe. El gusano también escribe una clave de inicio automático, por lo que se iniciará cada vez que se inicie Windows:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Kernel Setup =% SYSTEM% Setup30.exe

Luego, el gusano se suspende durante 5 minutos y luego lanza una de sus cargas útiles según la hora del sistema:

Lunes: encuentra y elimina I-Worm.Badtrans

Martes: restaura los valores predeterminados en Win.ini:
[ventanas]
Ejecutar =
Carga =

y establece el siguiente valor de clave de registro:

HKCRexefileshellopencommand
Valor predeterminado = "% 1"% *

Miércoles: encuentra y elimina I-Worm.PrettyPark

Jueves: borra los siguientes archivos si existen:

c: mircmirc.ini
c: mircscript.ini
c: mirc32mirc.ini
c: mirc32script.ini
c: ircmirc.ini
c: ircscript.ini
c: chatmirc.ini
c: chatscript.ini
c: progra ~ 1mircmirc.ini
c: progra ~ 1mircscript.ini
c: progra ~ 1mirc32mirc.ini
c: progra ~ 1mirc32script.ini
c: progra ~ 1ircmirc.ini
c: progra ~ 1ircscript.ini

Viernes: encuentra y elimina I-Worm.Sircam.c

Sábado: restablece los valores predeterminados en System.ini:
[bota]
Shell = explorer.exe

Domingo: encuentra y borra todos los archivos con una extensión ".vbs" en las carpetas% WINDOWS% y% SYSTEM%.

El 16 de septiembre, muestra el siguiente mensaje:

Antivirus 
Sistema protegido por I-Worm.Antivirus
Copyright (c) 2001 por aLL3gRo

Después de ejecutar la carga útil, el gusano verifica si el siguiente valor de registro está presente:

HKLMSoftwareMicrosoftWindowsCurrentVersion Install = 1

Si el valor no existe, el gusano intenta enviarse a los remitentes de los mensajes que existen en las carpetas del cliente predeterminado de MAPI.

El asunto del mensaje enviado es "Nueva herramienta antivirus", y el mensaje también contiene el archivo adjunto "Antivirus.exe" que es el virus en sí y también contiene en el cuerpo:

Oye, revisa esta nueva herramienta antivirus que revisa tu sistema en busca de virus


Enlace al original