ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Melare

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Melare es un virus de gusano que se propaga a través de Internet como un archivo adjunto de correo electrónico. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 6 KB de longitud cuando está comprimido por UPX, el tamaño descomprimido es de aproximadamente 15 KB. Está escrito en Visual Basic.

El gusano se activa desde el correo electrónico infectado solo si el usuario hace clic en el archivo adjunto. Tenga en cuenta que el verdadero nombre de archivo .EXE adjunto está oculto por un nombre falso .JPG. Como resultado, el archivo infectado .EXE se muestra como un archivo de imagen .JPG (imagen), aunque al abrir este archivo adjunto se ejecuta como verdadero archivo EXE. Cuando se inicia desde MS Outlook 97 SP2, dichos archivos adjuntos están bloqueados (en el modo predeterminado).

El gusano se instala en el sistema y ejecuta su rutina de propagación y carga útil.

Instalación
Al instalar el gusano se copia en el directorio de Windows con el nombre csrss.EXE y registra este archivo en la clave de ejecución automática del registro del sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
   SystemSARS32 =% WindowsDir% csrss.EXE

Extensión
Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook.

Los mensajes infectados tienen los siguientes atributos:

El comienzo del texto del cuerpo del mensaje puede estar cubierto por un ícono de "adjuntar JPG".

Carga útil
Los días 1, 4, 8, 12, 16, 20, 24 y 28 de cada mes, el gusano borra todos los archivos * .DLL, * .NLS, * .OCX en el directorio actual (en la mayoría de los casos, este sería el directorio de Windows) )


Enlace al original