|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde el 12 de agosto de 1996
| Virus: I-Worm.Energy. Infecta archivos RAR | ||
|---|---|---|
VSantivirus No. 135 - Año 4 - Lunes 20 de noviembre de 2000 Nombre: I-Worm.Energy Tipo: Gusano de Internet Se trata de un gusano que se propaga a través de mensajes que contienen archivos RAR (compresor similar al ZIP) adjuntos. El gusano puede llegar a nuestra computadora, en un archivo SETUP.EXE, adjunto a un mensaje, o dentro de otro archivo comprimido con la utilidad RAR (*.RAR o *.EXE) incluyendo un archivo infectado de nombre SETUP.EXE dentro. Si ejecutamos el archivo SETUP.EXE, el virus se activa, y entonces se copia a si mismo al directorio WINDOWS\SYSTEM, con el nombre ENERGY.EXE. Luego modifica el registro para cargarse como un servicio (no visible al pulsar CTRL+ALT+SUPR), permaneciendo residente en memoria. Trabajando en segundo plano (background), el gusano es capaz de interceptar todos los procesos que utilicen las librerías MAPI (usadas por Windows y otros programas para el manejo del correo electrónico). Entonces, se copia a si mismo en estos procesos, y engancha (hook) la función MAPISendMail. Cuando un mensaje con un archivo RAR adjunto es enviado, el gusano abre este archivo, y se copia a si mismo a él usando el nombre SETUP.EXE. Como resultado, todos los archivos RAR que son enviados desde la máquina infectada, contienen un archivo SETUP.EXE con el cuerpo del gusano en él. En el código del gusano, se encuentra este texto:
Fuente: Kaspersky AVP |
||
