|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
Nombre de virus: W32/Hlam @ MM
Alias conocidos: W97M/Hlam.A , W32.HLLP.Chlamydia @ mm Riesgo Infección: Alto (Bajo, Alto, Muy Alto) Activación: Envía mails (1º avisando y 2º con fichero anexado) a listas Outlook Propagación: Por ejecución fichero recibido por e-mail, INSTALL (.exe ó .scr) Detección: DATS 4140 Motor necesario: 4.0.70 Infección actual: Inicial (Inicial, Media, Elevada)Un nuevo virus multiacción infecta ficheros ejecutables EXE/SCR, documentos y plantillas de Word 97 o posterior, además de correr como gusano a través de chat (IRC) y de autoenviarse a las listas de Outlook con doble mail, el primero avisando del envio del segundo con fichero anexado, y luego envía el segundo con uno de entre 6 textos (en inglés), anexando fichero INSTALL (exe o scr)
Si se ejecuta el gusano anexado al e-mail, se infectarán todos los .EXE y .SCR que se ejecuten a continuación, añadiéndose el gusano a dichos ficheros. Además, los primeros 1000 bytes de cada uno, los encripta y los desplaza al final del fichero. Cuando se ejecuta uno de estos infectados, el virus extrae el código original del fichero, lo copia con la extensión VXV y lo ejecuta,
A los documentos de word el virus les añade la macro Syphilis y también el código del ejecutable EXE. El virus extrae dicho código y lo copia en el fichero CHLAM.EXE, y crea, en el directorio de sistema, los ficheros SysT_eDit.exe y sys_edit_.dll, a los que se llamará desde el registro de sistema.
La macro se copia al cerrar el documento y se propaga exportando el código vírico al fichero FAYCE.DLL, para luego importarlo en los documentos no infectados. El virus desactiva las protecciones de presencia de macros en Word y confirma la conversión de ficheros, también desactiva el acceso desde el menú de opciones a Herramientas-Plantilla, Herramientas-Macro y al Editor de Visual Basic.
El virus modifica 4 claves de sistema, de las que tres deben ser corregidas adecuadamente, (no se deben borrar las claves del registro de sistema ni los gusanos con el antivirus hasta haber corregido las claves) para lo que hemos creado la utilidad UNDO18.REG, disponible en las utilidades de www.satinfo.es, que deberá ejecutarse con doble click sobre el fichero, con lo que se restaurarán dichas claves. Tras ello, un testeo con el SCAN /CLEAN C: con DAT min. 4140 será suficiente para borrar los ficheros gusano y limpiar los infectados. Comprobar finalmente que arranca sin virus.
SATINFO, VIRUSCAN SPAIN SERVICE 29-5-2001