Nombre de virus: W32/HADRA @ M

Alias conocidos: W32.Hydra @ mm

Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)

Activación: Envia e_mail con anexado infectado a listas Outlook y normales

Infección: Por ejecución documento infectado anexado al e-mail

Detección: DATS 4144

Motor necesario: engine 4.0.70

Infección actual: Inicial (Inicial, Media, Elevada)

Con este virus han inventado un nuevo sistema de propagación, además de usar el típico de autoenviarse anexado a un nuevo e-mail dirigido a las listas de Outlook, y es el cambiar el fichero que se anexa a un mail normal, por el infectado, pero manteniendo el nombre del original. En cambio en los que envía masivamente, les pone un nombre aleatorio de 8 letras y extensión EXE

También hay que notar que el envío masivo lo hace por cada envío de e-mail normal, y si el destinatario ya tiene infectado el ordenador con este virus, el mismo virus residente filtra el e-mail entrante y le borra el fichero anexado infectado.

Los viernes y 13, entre las 13 y 14 horas, el virus lanza un mensaje de

[I-worm.Hydra] ...bygl_st0rm of [mions]

Al ejecutar el fichero infectado, el virus copia este fichero en el directorio de Windows con el nombre MSSERV.EXE, y crea varias claves en el registro de sistema que lo ejecutan en cada reinicio de Windows, antes que nada.

Cabe señalar que este virus tiene otra característica sobresaliente, y es el desactivar los antivirus residentes en cuanto van a quedar instalados en cada reinicio de windows, al haber sido éste (el virus) instalado anteriormente.

Por último el virus conecta vía FTP descargando el software de SETI (Search for Extraterrestrial Intelligency) y lo instala, pasando el ordenador a integrar parte del conjunto que ensamblan un gigantesco ordenador a tal efecto.

Ofrecemos nuestra utilidad ELIHADRA.EXE para eliminar las claves de registro y borrar el gusano, tras lo cual comprobar con el SCAN la limpieza

SATINFO, VIRUSCAN SPAIN SERVICE 26-6-01

Anterior