Nombre de virus: W32/PetLil@MM
Alias conocidos: WORM_GORUM.A
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero EXE infectado
Propagación: Adjunto a un mensaje de correo electrónico
Detección: desde DATS 4207
Motor necesario: desde 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)

El gusano w32/PetLil@MM se presenta como adjunto a un mensaje de correo electrónico con la siguiente información:

Asunto: XXX Picture...

Mensaje: A pretty girl waits for you. Click on attached file...

Adjunto: XXXPic.exe

Cuando se ejecuta el fichero XXXPic.exe, si el día del mes es 1, 15 o 31, el gusano presenta la imagen de una mujer semi-desnuda. Cualquier otro día, visualizará el siguiente mensaje:

y envía un correo electrónico a cada usuario de la libreta de direcciones de Microsoft Outlook, con el formato arriba indicado.

El gusano se copia como C:\XXXPic.exe. También busca ficheros en los directorios Windows, Windows System, y Mis Documentos, con extensiones .vbs, .htm, .doc, .xls, .bmp, .gif, .jpg, .pdf, o .js. Si encuentra cualquier fichero de los anteriores, el gusano se copia con el mismo nombre, pero con extensión .exe , y por cada uno de ellos añade una entrada en el registro de sistema en la ruta

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Se controla con VirusScan desde los DAT y motor arriba indicados, disponibles en www.satinfo.es

Satinfo ha desarrollado una utilidad EliPet.exe para sus asociados, que permite eliminar de manera automática las claves de registro generadas por w32/PetLil@MM.

SATINFO, VIRUSCAN SPAIN SERVICE 18 de Junio de 2002

Anterior