|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
Nuevo Virus W32/Runnelot@MM , gusano y troyano que se controla desde DATS 4244 y engine
4.1.60, de propagación masiva por e-mail con Remitente, Asunto y Fichero anexado
aleatorios.
PAYLOADS: Propagación masiva, infección de ficheros EXE tipo PE, sobreescritura de todos los archivos de las carpetas: Mis Documentos, Favoritos, Historial y Cookies, en 14 días programados de cada año.
Nombre de virus: W32/RUNNELOT@MM
Alias conocidos: Win32.RUNNELOT, I_WORM RUNNELOT
Riesgo Infección: Medio
(Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución
del fichero anexado al e-mail (que se recibe en castellano)
Propagación: Por envío
masivo de e-mail con fichero infectado a las direcciones de *.HTM
Detección: desde DATS 4244
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)
Se trata un gusano que al propagarse masivamente por e-mail sin Asunto ni remitente ni fichero anexado concreto, puede infectar muchos ordenadores, a pesar de ser detectable con el antivirus actualizado y bien configurado, pero en los que no sea así, tiene como payload 14 activaciones anuales, que pueden causar estragos.
Se propaga mediante envío masivo de e-mails a direcciones capturadas de ficheros *.HTM existentes en los ordenadores, y autoenviándose por el SMTP instalado básicamente en los sistemas. El fichero donde almacena dichas direcciones capturadas lo llama RUNNER.DLL
Al ejecutar el fichero anexado, de nombre variable, infecta los ficheros ejecutables tipo PE, que encuentra tanto en las unidades locales como en las compartidas.
Para mantener el virus en cada reinicio de Windows, crea una copia de sí mismo en la carpeta de sistema de Windows, en el fichero RUNNER.EXE, el cual ejecuta desde una clave en el registro de sistema:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Runner" = %System%\Runner.exe /auto /rsrc32.dll
Además crea también los ficheros RSRC32.DLL y el RUNNER.DLL, ficheros que serán eliminados al ejecutar nuestra utilidad ELIRUNNE.EXE, además de detener el virus en proceso y de eliminar la clave en cuestión. Tras ello deberán limpiarse todos los ficheros infectados tanto de las unidades locales como de las compartidas de la red, como indicamos al final, en el apartado de COMO ELIMINAR EL VIRUS
Aparte de la propagación por e-mail y por infección a través de recursos compartidos, lo peor de este virus es su activación en 14 días al año, sobreescribiendo los ficheros existentes en las carpetas MIS DOCUMENTOS, FAVORITOS, HISTORIAL y COOKIES, con lo cual se pierden dichos ficheros al tener que ser eliminados por el antivirus. Los días en que se activa dicho payload son los siguientes: 13 de Febrero, 7 y 16 de Marzo, 21 de Abril, 8 y 18 de Mayo, 11 de Junio, 3 de Julio, 29 de Agosto, 30 de Octubre, 5 y 26 de Noviembre, 11 y 30 de Diciembre.
COMO ELIMINAR EL VIRUS
Se controla desde DATS 4244 y engine 4.1.60, ya existente en nuestra web, www.satinfo.es y para su eliminación hemos creado la utilidad ELIRUNNE.EXE, que detendrá el virus en memoria, restaurará la clave de registro y borrará los gusanos creados por el virus. Tras ello deberá ejecutarse el LIMPIA.EXE o el LIMPIANT.BAT según sean equipos con Windows 95,98, Me o NT, 2000, XP, recordando que el virus se habrá propagado a unidades locales y compartidas en red, por lo cual deberán ser analizadas y limpiadas si procede.
Para Descargar la utilidad ELIRUNNE.EXE , pulsar AQUI
Para Descargar la utilidad LIMPIA.EXE, pulsar AQUI
Para Descargar la utilidad LIMPIANT.BAT, pulsar AQUI
SATINFO, VIRUSCAN SPAIN SERVICE Barcelona, 6 Febrero 2003