SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Nuevo virus destructivo que hace
referencia a Operación Triunfo.
Nombre de virus: W32/Trilisa@MM
Alias conocidos: I-Worm.Orkiz,
W32/Musicalnightmar, WORM_ORKIZ.A
Riesgo Infección:
Alto (Bajo, Medio, Alto, Muy Alto)
Activación: Por
ejecución de fichero adjunto a e-mail
Propagación: Por
distribución masiva a través de correo electrónico
Detección: desde DATS
4197
Motor necesario: desde 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)
W32/Trilisa@MM es un gusano mass-mailing que se envía a todas las direcciones almacenadas en la libreta de direcciones de Outlook y borra ficheros. Renombra ficheros EXE en el directorio WINDOWS y se copia en lugar del fichero original. El gusano llega en un mensaje de correo electrónico con la siguiente información:
Asunto: Mira esto, jajaja, te vas a reir!!
Mensaje: Jajajaja!!! Es la ostia!! Miralo!!
Adjunto: OperacionTriunfo.scr
Al ejecutar el fichero adjunto se infecta el ordenador local, y el gusano se copia al directorio raíz además de generar una clave de ejecución en el registro de sistema para provocar la carga del gusano al reiniciar el sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\(Default)=c:\system32 - Veronica la mejor!!!.exe
Igualmente modifica la clave exefile shell open del registro, para ejecutar el gusano cada vez que se ejecute un fichero .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command\Default\(Default)=c:\system32 - Veronica la mejor!!.exe "%1" %*
Se crean 3 ficheros VBScript en la raíz de la unidad C:, así como varias claves de ejecución de registro para cargar los VBScripts al inicio del sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\(Default)=c:\eurovision.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\(Default)=c:\Command.com.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\(Default)=c:\x.vbs
Los ficheros anteriores tiene las siguientes funciones:
c:\Command.com.vbs (510 bytes) Lleva a cabo la rutina de envío masiva por correo electrónico
c:\eurovision.vbs (1623 bytes) Contiene la rutina payload destructiva. Borra los siguientes ficheros de unidades locales de disco duro unidades de red y unidades RAM de disco: *.ace, *.asf, *.asm, *.arj, *.avi, *.bmp, *.doc, *.gb, *.gba, *.gbc, *.gif, *.jpeg, *.jpg, *.js, *.lhz, *.log, *.mdb, *.mid, *.mod, *.mov, *.mp, *.mp2, *.mp3, *.mpeg, *.mpg, *.pdf, *.ppt, *.rar, *.rm, *.rtf, *.smc, *.txt, *.wav, *.wp, *.xls, *.zip, regedit.*, regedb32.*
c:\x.vbs (184 bytes) Simplemente visualiza 4
cajas de mensaje consecutivas:
El gusano también se copia a la unidad A:\ como Polvazo.scr y a la raíz de la
unidad C: con el nombre OperacionTriunfo.scr.
Se controla con VirusScan desde los DAT y motor arriba indicados, disponibles en nuestra web www.satinfo.es
SATINFO, VIRUSCAN SPAIN SERVICE 25 de Abril de 2002
