NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

nuevo virus gusano con autoenvío de e-mails a las listas Outlook

Nombre de virus: W32/MATCHER @ MM

Alias conocidos: Win32.Matcher.Worm

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Envía e-mail con fichero anexado infectado a las listas de Outlook

Infección: Por ejecución fichero anexado al email recibido (MATCHER.EXE)

Detección: DATS 4134

Motor necesario: engine 4.0.70

Infección actual: Inicial (Inicial, Media, Elevada)

Nuevo virus que se propaga usando Microsoft Outlook, por autoenvío de e-mails con fichero gusano anexado MATCHER.EXE

Cuando se ejecuta el fichero anexado al e-mail, se crea una copia del fichero Matcher.exe en el directorio de sistema de Windows, y se crea una clave en el registro de sistema, que ejecuta dicho fichero en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\\Run(default)= =%SysDir%\Matcher.exe

Este virus se detectaba ya desde el mes de Noviembre 2000 (DATS 4096), realizando un análisis heurístico, como "New Backdoor", si bien se detecta específicamente como "W32/Matcher @ mm" desde DATS 4134

Esperamos que los usuarios españoles no propaguen este virus tanto como el MTX, el Hybris y el Magistr, gracias a que de entrada el cuerpo del e-mail es siempre el mismo y en inglés, lo cual hace despertar sospechas, además, con los actuales DATS 4134, que se entregan con los disquetes de nuestra actualización del mes de Abril 2001, ya se detecta totalmente.

Como acciones troyanas, tiene la modificación del AUTOEXEC.BAT con la visualización de dos palabras from : Bugger , y el envío (a veces doble) de mails a todas las direcciones de Outlook, hasta que se elimina del ordenador.

Para este virus hemos creado la utilidad ELIMATCH.EXE, que eliminará la clave del mismo en el registro de sistema, tras lo que, en el próximo reinicio,

podrá eliminarse el gusano, al no estar en uso por no cargarlo en el registro.

Pueden descargar dicha herramienta de nuestra web www.satinfo.es, en la sección de descargas de utilidades.

 

 

SATINFO, VIRUSCAN SPAIN SERVICE 24-4-01

Anterior