SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Virus que propaga por correo electrónico, y que incorpora payload destructivo a partir del mes de Mayo.
Nombre de virus: W32/Shodi.c@MM
Alias conocidos: W32.Tunk.A, W32/Shoder.a@MM
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico
Activación: Por
ejecución de fichero EXE
Detección: desde
DATS 4351
Motor necesario: desde 4.2.40
Infección actual: Inicial (Inicial, Media, Elevada)
w32/Shodi.c@MM es un infector de ficheros ejecutables, que genera un script VBS para enviarse masivamente a destinatarios extraídos de la libreta de direcciones de Outlook. A partir de Mayo de 2004, el virus activa un payload destructivo que borra ficheros críticos del sistema.
Infección de Ficheros
El virus añade su código a ficheros .EXE del equipo infectado. No infecta los
siguientes ficheros:
· CCREGVFY.EXE
· CCAPP.EXE
· IEXPLORE.EXE
También añade la siguiente cadena a los ficheros infectados:
· UssaShohhdi
El tamaño de los ficheros infectados, crece en 65.555 bytes.
Asunto: MyFriend,How are you?
Mensaje: Please See The Attachment (Important)!
Adjunto: una copia del fichero infectado.
El script también configura la siguiente clave de Registro:
·
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\UssaShohhdi? = 1
Esta clave la utiliza el script para que no propague más de una vez desde un equipo infectado.
· C:\NTDETECT.COM
· C:\COMMAND.COM
· C:\MSDOS.SYS
· C:\IO.SYS\
Sin estos ficheros de sistema, Windows no reiniciará.
Detección y eliminación
El virus se controla desde los DAT
4351 , para su limpieza se recomienda arrancar el
sistema en 'modo seguro' o 'modo a prueba de fallos' (según sistema operativo) y realizar
una exploración de virus a todos los ficheros.
SATINFO, VIRUSCAN SPAIN SERVICE 26 de Abril de 2004
