NUEVO GUSANO W32/NEWAPT.WORM

Nombre de virus: W32/Newapt.worm

Alias conocidos: I-Worm/Mesmate, Troj_Newapt

Riesgo: Alto ( Bajo, Alto, Muy Alto)

Activación: A partir del 26/XII intenta conexión remota

Propagación: Por autoenvio de worm vía e-mail (Outlook)

Detección: VIRUSCAN Desde 4058 o EXTRA.DAT

Motor necesario: Engine 4025 o superior

Infección actual: Inicial (Inicial, Media, Elevada)

McAfee AVERT nos informa que en varios países les ha sido reportado en la semana del 17 de Diciembre 99 este nuevo gusano que envía un mail con un fichero EXE anexado de 69.632 bytes que, aleatoriamente, tiene nombres diferentes, a saber: Baby, bboy, boss, casper, chestburts cooler1, cooler3, copier, cupid2, farter, fborfw, goal, goal1, g-zilla , hog irngiant, monica, panther, panthr, party, pirate, s, saddam, theobbq, video.

El virus chequea el ordenador en busca de la instalación del OUTLOOK y, si lo encuentra, crea dos ficheros en el directorio C:\WINDOWS:

Mma, conteniendo direcciones e-mail capturadas de los mails entrados Mmail, conteniendo las direcciones del MS OUTLOOK.

Modifica el registro de sistema y le añade la opción /x para que sea ejecutado al arrancar Windows, cambiando el fichero a ejecutar según sea el nombre del fichero anexado, por ejemplo, en el caso de ser el saddam.exe, el registro de entrada en un equipo con W9x será:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run tpawen = c:\windows\saddam.exe /x

En el próximo arranque se carga el fichero en cuestión y el virus queda en memoria y empieza a enviar mensajes de email a la lista Mma.

Mientras el virus está activo bajo Windows 9x, implementa en la carpeta de C:\WINDOWS\SYSTEM del ordenador, las siguientes DLL:

WSOCK32, WININET, SHLWAPI, USER32, GDI32, ADVAPI32. KERNEL32

A partir del 26 de Diciembre intenta conectar a ordenador remoto.

En 12 de Junio del 2000 tiene programado eliminar el Run del registro

de sistema, con lo que dejará de quedar en memoria y de propagarse.

SATINFO, VIRUSCAN SPAIN SERVICE

Anterior