NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

Llega en un mail con Asunto: SHAKE a little, y fichero anexado SHAKE.EXE, enviado masivamente desde un ordenador infectado en el que han ejecutado dicho fichero..

La ejecución del fichero anexado provoca saltos de iconos durante unos segundos, luego sobreescribe ficheros .ASP, .HTM y .HTML de C:\INETPUB\WWWROOT y borra los ficheros *.EXE de C:\.

***Se propaga intrared por recursos compartidos***

Nombre de virus: W32/SHATRIX @ MM
Alias conocidos: W32/SHATRIX

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: Tras ejecutar el SHAKE.EXE saltan los iconos durante unos segundos : Sobreescribe ficheros .ASP, .HTM y .HTML de C:\INETPUB\WWWROOT Borra ficheros *.EXE de C:\
Propagación: .Por envío masivo de mails, con anexado, y por recursos compartidos
Detección:
DATS 4180
Motor necesario: 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de un nuevo gusano que se aprecia por los saltos que dan los iconos de la pantalla, durante unos segundos tras la ejecución del fichero anexado al e-mail

Como gusano que es, autoenvía mails a direcciones existentes en la libreta de Outlook, enviando los mails con Asunto FW:Shake a little y con fichero anexado Shake.exe

Tras ello se copia en la carpeta de sistema de windows con un nombre aleatorio de 8 letrasy extensión .EXE. Luego crea dos claves de registro para su carga en cada reinicio..

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SystemInfo
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SystemInfoM

También sobrescribe todos los archivos .ASP, .HTM y .HTML en el directorio C:\INETPUB\WWWROOT. y borra los ficheros EXE del directorio raiz de C:

Dentro del gusano existen los textos: MatriX is out there
MatriX has You...
MatriX is All around You

Este fichero es detectado como infectado desde DATS 4180, y debe eliminarse, si bien antes conviene ejecutar nuestra utilidad UNDO28.REG para eliminar claves de llamada, y tras ello reiniciar Windows, y con el antivirus actualizado, eliminar los ficheros infectados por este virus. Pueden descargar la utilidad UNDO28.REG de nuestra web www.satinfo.es .

 

SATINFO, VIRUSCAN SPAIN SERVICE 15 de Enero de 2002

Anterior