Nuevo virus gusano de difusión masiva a través de las listas de Outlook

Nombre de virus: W32/Magistr @ mm

Alias conocidos: I-Worm.Magistr , W32.Magistr, PE_MAGISTR.A

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Envía mails a las listas de Outlook y Nestcape, e infecta ficheros PE (portables ejecutables

Propagación: Por ejecución fichero .EXE (aleatorio) recibido por e-mail

Detección: DATS 4128

Motor necesario: 4.1.00

Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de un nuevo virus polimórfico, encriptado, y gusano de envío masivo (mass mailing), el cual se envía a sí mismo a direcciones de correo almacenadas en diferentes ubicaciones. El gusano se instala en cada inicio del sistema.

Cinco minutos después de ejecutarse el virus, éste inicia una rutina de envío por e-mail. Las direciones de correo las reúne de la libreta de direcciones de Outlook Express, así como de los buzones de Netscape (junta direcciones encontradas en los mensajes de correo dentro de los buzones existentes), y estas referencias y direcciones se salvan en el fichero WG-SKYF.DAT del directorio WINDOWS. Los mensajes enviados por el gusano contienen asunto, cuerpo y archivos asociados variables. El cuerpo del mensaje es un extracto de los contenidos de otros ficheros en el ordenador de la víctima. Puede enviar más de un fichero asociado, y puede incluir fichero no EXE o no víricos junto con un .EXE infeccioso.

El virus procede infectando ficheros PE (Portables Ejecutables) encontrados en el directorio Windows/System y subdirectorios.

En el cuerpo desencriptado del cuerpo del virus, existen los siguientes comentarios:

ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler.
by: The Judges Disemboweler.
written in Malmo (Sweden)

· Incremento del tamaño de ficheros .EXE (aproximadamente en 28Kb)

· Los ficheros infectados tienden a modificar fecha y hora de modificación

· Presencia del fichero WG-SKYF.DAT en el directorio Windows (las direcciones de e-mail contenidas en este fichero representan las enviadas por el virus)

· Entrada en Win.ini (Run=<aplicación>) o valor de clave en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AppName (varia)=C:\WINDOWS\SYSTEM\(App).EXE (varia)

Método de infección

Es un gusano mass mail que llega como fichero .EXE con nombres de fichero variables. Ejecutando este attachment infecta el ordenador, de modo que pueda propagar el virus. Cuando se ejecuta por primera vez, el virus copia un fichero .EXE en el directorio WINDOWS o WINDOWS/SYSTEM utilizando el mismo nombre con el último caracter alterado.

Por ejemplo, CFGWIZ32.EXE se convierte en CFGWIZ31.EXE, PSTORES.EXE se convierte en PSTORER.EXE, ETC.

Esta copia se infecta, y mediante la creación de una entrada en WIN.INI o una clave RUN en el registro provoca que se ejecute en cada inicio del sistema:

Ejemplo: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
CFGWIZ31=C:\WINDOWS\SYSTEM\CFGWZ31.EXE

Este ejecutable infecta otros ejecutables PE en el directorio SYSTEM y subdirectorios cuando se ejecuta.

Eliminación

Utilizar motor y DATS especificados para detección y eliminación.

Importante

Adjuntamos fichero EXTRA.DAT que detecta el virus, hasta que aparezca la versión 4128. Para que el antivirus lo detecte basta con copiarlo en la carpeta donde se encuentran el SCAN.DAT, CLEAN.DAT y NAMES.DAT

SATINFO, VIRUSCAN SPAIN SERVICE 14-3-01

Anterior