NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior


Nombre de virus: W32/Ciosor @ mm
Alias conocidos: I-worm.Ciosor, Win32.HLLM.Gracioso
Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: Mueve el cursor a todas partes sin seguir los movimientos del mouse
Propagación: Envía mails infectados a las direcciones de *.EML, *.NWS, *.DBX
Detección: DATS 4170
Motor necesario: 4.1.40
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de un virus, probablemente escrito en España, que utiliza el servidor SMTP de Terra (smtp.terra.es) para enviar los e-mails infectados, cuyas direcciones saca del interior de ficheros con extensión EML, NWS y DBX

El e-mail que se recibe varía aleatoriamente, pero la mayoría indica que anexa una utilidad para eliminar el virus que se tiene en el ordenador, sin mas razones, o haciéndose el ofendido por haber recibido supuestamente dos veces el mismo virus, razón por la que envían la utilidad "desinfectora". El asunto puede ser :

 

1 Cuidado con los virus!!!
2 Tienes un virus!!!
3 Me lo baje de Internet
4 Una coña de la red

El texto del mail puede ser el siguiente:

1 Me ha llegado el virus Nimda, de tu ordenador, ya es la segunda vez
Pasa la vacuna que te envío, de Norton Antivirus
¡Y ten mas cuidado la próxima vez!

2 Me ha llegado el virus Magistr, de tu ordenador, ya es la segunda vez
Pasa la vacuna que te envío, de Norton Antivirus
¡Y ten mas cuidado la próxima vez!

3 Ha llegado el virus Sircam, de tu ordenador, ya es la segunda vez
Pasa la vacuna que te envío, de Norton Antivirus
¡Y ten mas cuidado la próxima vez!

4 Por Favor, revise su ordenador, me ha enviado el virus Nimda
Le envío la vacuna facilitada por Norton Antivirus

5 Por Favor, revise su ordenador, me ha enviado el virus Magistr
Le envío la vacuna facilitada por Norton Antivirus

6 Por Favor, revise su ordenador, me ha enviado el virus Sircam
Le envío la vacuna facilitada por Norton Antivirus

7 Hola, perdona, que te moleste, pero me has enviado un virus, el Nimda
Te envío la vacuna de panda, ¡Ten mas cuidado la
próxima vez!

8 Hola, perdona, que te moleste, pero me has enviado un virus, el Magistr
Te envío la vacuna de panda, ¡Ten mas cuidado la próxima vez!

9 Hola, perdona, que te moleste, pero me has enviado un virus, el Sircam
Te envío la vacuna de panda, ¡Ten mas cuidado la próxima vez!

10 Te envío un fichero que me he bajado de Internet, es una broma, mueve el
ratón por toda la pantalla. No se quita ni pulsando control+alt+supr,
Jeje, al final hay que reiniciar.

 

Ficheros que anexa según el mail:

1 MueveRaton.exe
2 AntiMagistr.exe
3 AntiNimda.exe
4 AntiSircam.exe

Cuando se ejecuta, el gusano se copia a si mismo en la carpeta de sistema de Windows como REGWIZ.EXE, sobreescribiendo el que existe con este nombre y modifica dos claves del registro de sistema, una para ejecutar el gusano en cada reinicio de Windows, y la otra para acumular el numero de arranques en un contador, el cual cuando llega a 75, anula el salvapantallas y reinicia Windows.

También añade en el C:\MSDOS.SYS, la línea: BootKeys=0 , con lo que
se anula la funcionalidad de las teclas F4, F5, F6, F8 durante el proceso
de inicio del ordenador, impidiendo su control durante el arranque.

Con nuestra herramienta ELICIOSO.EXE, disponible en las utilidades de
nuestra web, www.satinfo.es, se restauran los valores del registro
de sistema, el del MSDOS.SYS y se borran los ficheros gusano creados.

 

VIRUSCAN SPAIN SERVICE 22-11-2001

Anterior