Nombre de virus: W32/CORONEX@MM
Alias conocidos: I-Worm.Coronex, W32/Sars@mm, W32.Coronex@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero infectado anexado a un e-mail o recibido por red tipo KaZaA
Propagación: Por envío de mails masivos anexando fichero infectado, y por redes tipo KaZaA
Detección: desde DATS 4259
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de un gusano de propagación masiva por e-mail, enviado a todas las direcciones de Windows Address Book.

Utiliza el servidor SMTP "ns.execulink.com" para el envío de los mails infectados, y además se propaga por redes compartidas como KaZaA.

Los mensajes hacen alusión al SARS, siglas en inglés del Severe Acute Respiratory Síndrome (Síndrome Respiratorio Agudo Severo), enfermedad conocida como pulmonía atípica.

Cuando es ejecutado, presenta el siguiente texto:

Coronex also sets the Internet Explorer StartPage

(default page) to the World Health Organization's

Web page dedicated to the SARS virus:

Return to the Virus Information Library

Y nodifica el registro de sistema para cargarse en el próximo inicio:

HKLM\Software\Microsoft\Internet Explorer\Main

Start Page = http://www.who.int/csr/don/2003_04_19/en

Esto hace que cada vez que el Internet Explorer se inicie, intente conectarse a una página de la Organización Mundial de la Salud dedicada a esta enfermedad.

También se copia a si mismo en la carpeta "C:\My Downloads", o en la carpeta en uso si no se tiene creada dicha ruta, y empieza a propagar masivamente por e-mail y vía programas de intercambio P2P como KaZaa, eDonkey, BearShare, Morpheus, etc, y realiza otra copia en el directorio de Windows con el nombre de CORONA.EXE

A continuación modifica el registro de sistema para ser ejecutado en cada reinicio del sistema

HKLM\Software\Microsoft\Windows\CurrentVersion\Run PC-Config32 = C:\Windows\corona.exe

(El directorio de Windows, para el caso de sistemas Windows NT y 2000 será WINNT)

Los mensajes enviados varían aleatoriamente de entre una lista de remitentes, asuntos y textos. Recalcamos que en el apartado De: , el remitente que figura es falso. (técnica e-mail spoofing). Varios ejemplos de ellos son:

Ejemplo 1:

De: sars@hotmail.com

Asunto: SARS

Texto: Severe Acute Respiratory Syndrome

Datos adjuntos: sars.exe

 

Ejemplo 2:

De: sars2@hotmail.com

Asunto: SARS

Texto: I need your help

Datos adjuntos: corona.exe

 

Ejemplo 3:

De: corona@hotmail.com

Asunto: SARS

Texto: Virus Alert!

Datos adjuntos: virus.exe

 

Ejemplo 4:

De: virus@yahoo.com

Asunto: Corona Virus

Texto: honk kong

Datos adjuntos: hongkong.exe

 

De: deaths@china.com

Asunto: deaths virus

Texto: bye

Datos adjuntos: deaths.exe

 

Ejemplo 6:

De: virus@china.com

Asunto: SARS

Texto: SEE Ya

Datos adjuntos: sars2.exe

 

Ejemplo 7:

De: virus2@china.com

Asunto: SARS

Texto: SARS Corona Virus

Datos adjuntos: cv.exe

 

Además, el gusano se copia también en la carpeta "C:\My Downloads" con los siguientes nombres:

 

Age Of Mythology.exe

Battlefield 1942 (full).exe

Black Hawk Down (full).exe

Command & Conquer: Generals.exe

Cossacks Full Version.exe

Dark Age of Camelot.exe

Doom 3.exe

Grand Theft Auto 3 (full).exe

Jedi Knight II.exe

Master Of Orion 3.exe

Medel Of Honor: Allied Assault.exe

Oni full.exe

Quake 3 Full Version.exe

Rainbow 6 Full.exe

Return to Castle Wolfenstien (Full).exe

Starcraft full.exe

The Lord of the Rings.exe

The Sims: Unleashed.exe

Tribes 2 (full).exe

Ultima Online.exe

Unreal 2: The Awakening (full).exe

Unreal.exe

Warcraft III Full.exe

White and Black.exe

 

Especialmente estos archivos quedan disponibles para intercambio de archivos entre usuarios (Peer-To-Peer).

Tras copiar todos estos ficheros, añade258 Mb al fichero gusano, quedando con un total de 270 Mb, con lo que despista al usuario ante tan gran fichero.

Cuando el ordenador sea reiniciado, aparece una ventana que indica:

SARS Virus

corona virus

ELIMINACION:

Para la eliminación del virus, basta con ejecutar nuestra utilidad UNDO45.REG, con lo que se restaurarán las claves de registro, y a continuación ejecutar LIMPIA o LIMPIANT segín que el Sistema Operativo sea Windows 95/98/Millenium o bien NT/2000/XP, respectivamente.

Es importante que antes de ejecutar cualquier utilidad eliminadora de virus, se desactive el VSHIELD residente, lo cual se logra fácilmente pulsando con el Botón derecho sobre el icono del VSHIELD, dentro de la barra de INICIO, e indicar SALIR.

Para descargar las utilidades correspondientes:

Pulsar aquí para bajar el UNDO45.REG

Pulsar aquí para bajar el LIMPIANT.BAT (para sistemas Windows NT/2000/XP)

SATINFO, VIRUSCAN SPAIN SERVICE 24 de Abril 2003

Anterior