|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
La ejecución del fichero anexado crea en el directorio raíz de C: el mismo fichero ANTS3SET.EXE y en el directorio donde se encuentre por defecto WINDOWS, esto es, %WINDIR%, otra vez el mismo fichero pero con nombre cambiado aleatorio.
El mail llega por envío masivo desde un ordenador infectado, aparentando ser una versión gratuita de la versión 3.0 del antivirus ANTS, para lo cual ofrece el fichero anexado al mail, antes indicado.
Las tres versiones conocidas actualmente son controladas por los DATS 4168 existentes en nuestra web, www.satinfo.es.
Crea una clave RUNONCE en el registro de sistema, en HKEY_CURRENT_USER\... con lo que se ejecuta cada vez que se reinicia Windows, ejecutando el fichero gusano creado con nombre aleatorio, borrando dicha clave y creando una nueva para el siguiente reinicio, pero como que no borra los ficheros con nombre aleatorio que va creando en C:\Windows, estos pueden ser numerosos (uno por cada arranque), los cuales serán borrados por el antivirus en su acción de limpieza
Este virus está propagándose alarmantemente en centro Europa, si bien por el hecho de venir en un e-mail en alemán y en inglés, puede infectar fácilmente en España.
Como detalles de interés cabe indicar que el virus intenta disimular su presencia ocultando ventanas y procesos,
SATINFO, VIRUSCAN SPAIN SERVICE 6-11-2001