W32/Pawur.worm@MM


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Gusano destructivo que propaga por email con texto en castellano

Nombre de virus: W32/Pawur.worm@MM
Alias conocidos: w32/Anzae.worm.a
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico.
Activación: Por abrir el fichero adjunto al mensaje
Detección: desde DAILYDATS ó DATS 4410 (disponibles 25/11/2004)
Motor necesario: desde 4.3.20
Infección actual: Media (Inicial, Media, Elevada)

w32/Pawur.worm es un gusano mass-mailing escrito en MSVB y con las siguientes características:

contiene su propio motor SMTP para construir mensajes salientes

la dirección remitente (From:) de los mensajes es falseada

el adjunto puede ser un ZIP empaquetado

se copia a unidades C, D, E y F

borra ficheros

Propagación por correo electrónico

Los detalles son los siguientes:

Asunto :

re:Crees que puede ser verdad?

re:Amor verdadero

re:xD no me lo puedo creer!!

re:Dejate de rollos y viv

re:Psicolog

re:Neptuno y Mercurio

re:La Luna

re:Voodoo un tanto ps...

re:Eso con queso rima con...xD

re:Como el aire...

Mensaje:

No veas que cosas xD,luego me cuentas,chao.

Crees en el amor de verdad?,miralo y ya hablamos,ciaooo

Ver es creer!!!!chaoo.

Mira lo que te mando y ya vers que los detalles mas pequeños son los que importan,ciaoo

Test para ver si andas bien de las neuronassss!xD,luego hablamos,chao.

Que relaci n tienen estos planetas?,miralo y luego me cuentas,chao.

Esa moribunda y solitaria Luna,Impresionante!chao.

cierta la magia negra?,sal de dudas y ya me cuentas,chao.

Renvalo a todo que es que se meannn xD,nos vemos!

No comment,xDD ,Nos vemos!!

Adjunto: (Puede ser cualquiera de los siguientes:)

gnito.zip

Love-Me.zip

EL_rechazo.zip

My life(Mi vida).zip

quico-Mix.zip

Planetario.zip

Moon(Luna).zip

Voodoo!.zip

Rimaz.zip

Para-Brisas.zip

El virus se copia en el directorio de sistema de Windows como SVCHOSL.PIF. Por ejemplo:

C:\WINNT\SYSTEM32\SVCHOSL.PIF

Añade la siguiente clave de registro para interceptar el inicio de sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "svchost" = C:\Winnt\System32\SVCHOSL.PIF

Otros ficheros generados en la carpeta %Sysdir% :

C:\Winnt\System32\SW.EXE - Contiene la rutina de propagación de correo.

C:\Winnt\System32\SX.EXE - Contiene la rutina de propagación de correo.

C:\Winnt\System32\SZ.EXE - Contiene la rutina de propagación de correo.

C:\Winnt\System32\M.ZIP - Contiene una copia del gusano.

C:\Winnt\System32\INZAX.EXE - Contiene los diálogos

Este gusano también borra ficheros con las siguientes extensiones:

ASM

ASP

BDSPROJ

BMP

CPP

CS

CSPROJ

CSS

DOC

DPR

FRM

GIF

HTM

HTML

JPEG

JPG

MDB

MP3

NFM

NRG

PAS

PCX

PDF

PHP

PPT

RC

RC2

REG

RESX

RPT

SLN

TXT

VB

VBP

VBPROJ

WAV

XLS

Síntomas

Al ejecutar el gusano, se le presentan al usuario los siguientes diálogos:

Otro síntoma son las claves de registro antes descritas

Método de Infección
El virus construye mensajes utilizando su propio motor SMTP. Las direcciones email destino son recopiladas de ficheros en el equipo infectado.

El virus falsea la dirección remitente (campo From:) utilizando una de las direcciones recopiladas.

Genera copias de sí mismo a unidades C:, D:, E: y F: utilizando cualquiera de los siguientes nombres de fichero:

inzae.pif
extasis8.pif
rd2_roberto.pif
ph003.pif
simbolic3.pif
sin_mas_menos.pif

Detección y eliminación
El gusano se controla desde los DAILYDATS ó DAT 4410 (disponibles desde 25/11/2004), para su eliminación se recomienda ejecutar nuestra utilidad ELIPAWUA.

SATINFO, VIRUSCAN SPAIN SERVICE 24 de Noviembre de 2004