NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior



Nuevo gusano de Internet 32 bit para Windows 9x/NT

Nombre de virus: W32/SYSID.worm

Alias conocidos: TROJ_PERSONAL_ID

Riesgo Infección: Bajo    (Bajo, Alto, Muy Alto)

Activación: No tiene payload conocido

Propagación: Por autoenvio de emails a las listas Outlook

Detección: Desde DATS 4091

Motor necesario: Engine 4.0.50 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Un nuevo gusano de singulares características ha sido detectado en Internet, empezando a propagarse dada su distribución a través del envío de emails a las listas de Outlook. Si bien no parece tener efectos dañinos, tiene una característica que lo diferencia de los anteriores, y es que crea una clave en el Registro de Sistema para que al arrancar Windows ejecute el gusano (SYSID.EXE), cuya ejecución borra la clave del registro de sistema, y es al salir de Windows cuando, el virus residente vuelve a crear dicha clave, para volver a ejecutarlo en el próximo arranque de Windows.

De esta forma no puede eliminarse la clave una vez iniciado Windows, por no existir, y no puede eliminarse el fichero vírico por estar en uso.

Una vez detectado por el VIRUSCAN dicho virus, para eliminarlo sugerimos utilizar la herramienta que hemos creado al respecto, ELISYSID.EXE, que eliminará dicha clave en el próximo reinicio de Windows, y a continuación borrará los ficheros víricos sitos en los directorios WINDOWS, WINNT y subdirectorios SYSTEM y SYSTEM32. Además también borrara el fichero WINVER.VBS que utiliza dicho virus para el envío de emails con el gusano.

Pulse aqui para descargar el fichero ELISYSID.EXE

Los emails que envía, tienen el Cuerpo vacío, y el Sujeto es copiado de uno aleatorio de “Elementos enviados” del Outlook. Dicho email lleva cuatro ficheros anexados, el primero es un EXE que contiene el virus, al que le pone un nombre aleatorio de entre 100 posibles. El segundo es uno con extensión JPEG, JPG, DOC, XLS, escogido aleatoriamente entre los ficheros de la carpeta C:\Mis Documentos, y los otros dos son emails escogidos  aleatoriamente de la lista de “Elementos enviados” del Outlook.

Se controla desde DATS 4094, ya disponibles en nuestra web. Puede bajar los últimos DAT desde la página principal de nuestra web www.satinfo.es, guardar como DATS4.ZIP en C:\DATS y ejecutar la tarea AUTOUPDATE , o bien bajar de nuestra web  www.satinfo.es el fichero SDAT4094.exe o posterior, y ejecutarlo. Para actualizar NT o W2000, aconsejamos ejecutar el SDAT en cuestión, para asegurar la correcta actualización.
 

SATINFO, VIRUSCAN SPAIN SERVICE                         L 15-9-00
 
 

Anterior