NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

Llega en un mail con Asunto y fichero anexado (el nombre de la máquina infectada), cuya ejecución envía mail masivo a direcciones capturadas de documentos html, tras lo cual borra ficheros, según su extensión, en varias carpetas, y crea WIN.EXE modificando registro de sistema para llamarlo en siguientes reinicios de Windows.

Nombre de virus: W32/Maldal.d @ MM
Alias conocidos: WORM32_MALDAL.D, Win32/Maldal.E

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: Borra ficheros con determinadas extensiones en directorios específicos y cambia el nombre del ordenador por ZaCker, envía mails con nombre inicial del ordenador como asunto y como fichero anexado
Propagación: Por envío masivo de mails, con fichero infectado, a direcciones capturadas
Detección:
DATS 4179
Motor necesario: 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)
Se trata de una nueva variante del Maldal, del cual la versión C bloqueaba el teclado, y enviaba un e-mail con fichero anexado Christmas.exe, mientras que esta nueva versión MALDAL.D, borra los ficheros con extensiones BAT, COM, DAT, DOC, HTM, INI, JPG, LNK, MDB, MPEG, PHP, PPT, TXT, XLS, y ZIP, de los directorios WINDOWS, ARCHIVOS DE PROGRAMA y CARPETAS PERSONALES, como MIS DOCUMENTOS. Una consecuencia lógica es que tras la infección, se borrará el fichero WIN.COM y el ordenador no podrá reiniciar.

Como gusano que es, autoenvía mails a direcciones capturadas de documentos HTM y HTML existentes en el ordenador, enviando los mails con nombre de asunto el mismo que el de la máquina infectada que envía el virus, y con el mismo nombre, pero añadiéndole extensión .EXE, anexa un fichero adjunto al mail copia del gusano, y cambia el nombre de la máquina por el de ZaCker, por lo que, si tras la infección se ha repuesto el WIN.COM borrado, y se ha reiniciado Windows, como que el virus ha cambiado el nombre del ordenador por el de ZaCker, los mails que enviará las siguientes veces llevarán como Asunto ZaCker, y como fichero anexado, ZaCker.exe, por lo que podrá llegar en cualquiera de las dos formas, según fuera el caso, pero siempre el nombre del Asunto será el mismo que el del fichero anexado, este último con la extensión .EXE añadida al nombre.


Tras estas operaciones, el virus se copia dentro del disco duro con el nombre WIN.EXE dentro de la carpeta de sistema de Windows, y crea una clave en el registro de sistema para ejecutarlo en cada reinicio de Windows. Este fichero es detectado como infectado desde DATS 4179, y debe eliminarse, si bien antes conviene ejecutar nuestra utilidad UNDO27.REG para eliminar la clave de llamada, y tras ello reiniciar Windows, y con el antivirus actualizado, eliminar los ficheros infectados por este virus. Pueden descargar la utilidad UNDO27.REG de nuestra web www.satinfo.es .

 

SATINFO, VIRUSCAN SPAIN SERVICE 8 de Enero de 2002

Anterior