NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 
 

Nuevo gusano VBS con envío masivo de mails infectados vía Outlook

Nombre de virus: W32/ProLin@mm

Alias conocidos: Creative.exe, Prolin-Shockwave

Riesgo Infección: Alto   (Bajo, Alto, Muy Alto)

Activación: envía e-mails infectados a lista direcciones Outlook

Propagación: Por ejecución fichero Creative.exe anexado al mail

Detección: Desde DATS 4109

Motor necesario: Engine 4.0.70 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Se trata de un nuevo gusano escrito en Visual Basic 6 y compilado con el nombre de CREATIVE.EXE, que llega anexado a un e-mail con el siguiente formato:

Asunto: A great Shockwave flash movie
Tema:  Check out this new flash movie that i downloaded just now...It`s Great Bye
Anexado: Creative,exe

Cuando se ejecuta el fichero anexado, se copia en las tres carpetas:
C:\CREATIVE.EXE
C:\WINDOWS\TEMP\CREATIVE.EXE
C:\WINDOWS\Menú Inicio\Programas\Inicio\CREATIVE.EXE

El virus busca todos los ficheros JPG, MP3 y ZIP  y los mueve al directorio principal, añadiendo, a la extensión del fichero, la frase:
                   change atleast now to LINUX
Por ejemplo, a los ficheros IMAGEN.JPG y MUSICA.MP3 los mueve y cambia su nombre a:
  C:\IMAGEN.JPGchange atleast now to LINUX    y    C:\MUSICA.MP3change atleast now to LINUX

Afortunadamente el virus crea un log añadiendo, a un texto fijo, los cambios que va realizando, a partir de los cuales poder restablecer los ficheros movidos y cambiados de nombre, a su trayectoria y nombre original. El nombre de este fichero clave es C:\messageforu.txt, del siguiente formato (al final del texto, la relación de los ficheros tocados)

Hi, guess you have got the message. I have kept a list of files that I have infected under this. If you are smart enought just reverse back the process, I could have done far better damage, I could have even completely wiped your harddisk. Remember this is a warning & get it sound and clear... The Penguin.
       C:\DIBUJOS\IMAGEN,JPG
       C:\MUSICA\CANCION.MP3             etc...

Hemos creado la utilidad ELIPROLI.EXE que restaura la normalidad a los ficheros y elimina gusano. Disponible en Utilidades www.satinfo.es

SATINFO, VIRUSCAN SPAIN SERVICE                        18-12-2000

Anterior