Virus: Killer Resume (Melissa.BG)

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

Sábado 27 de mayo de 2000

Haciéndose pasar por un inofensivo "curriculum vitae" hizo su aparición en mayo de 2000 un virus muy similar al Melissa, que intenta borrar todos los archivos de la unidad de disco duro de la víctima y cualquier unidad de red. El virus llega en un mensaje con el asunto: "Resume - Janet Simons" y un archivo adjunto llamado EXPLORER.DOC en el más común de los casos (puede tener otros nombres).

El virus se extendió más rápidamente que otras amenazas como el "NewLove" (una variación del "LoveLetter" que se propagó muy poco).

A primeras horas de la tarde del viernes 26 de mayo de 2000, Network Associates (NAI), Symantec y TrendMicro, reportaban numerosas víctimas. Esta última empresa informó que algunos de sus clientes corporativos, habían enviado más de 7000 copias infectadas del mensaje y otro 2000, antes de percatarse de su existencia.

Esta es la descripción del virus:

Nombre: WM97/Resume-A
Tipo: Virus de macros y Gusano de Internet
Alias: ResumeWorm, W97M.Resume.A, W97M/Melissa.BG, Killer Resume
Tamaño: 41,472b

El virus "Killer Resume", utiliza un método ya familiar para extenderse, envía una copia infectada a todos los contactos de la libreta de direcciones del Outlook.

El archivo adjunto suele ser "EXPLORER.DOC", aunque los primeros reportes mencionaron también "RESUME1.DOC", "RESUME.DOC" o "NORMAL.DOT".

El mensaje es el siguiente:

Asunto:

Resume - Janet Simons

Archivo adjunto:

EXPLORER.DOC (otras posibilidades: RESUME.DOC, RESUME1.DOC o NORMAL.DOT)

En el cuerpo del mensaje se incluye el siguiente texto:

To: Director of Sales/Marketing,

Attached is my resume with a list of
references contained within. Please
feel free to call or email me if you
have any further questions regarding
my experience. I am looking forward
to hearing from you.

Sincerely,

Janet Simons.

(A: Director de Ventas/Marketing,
Adjunto va mi curriculum vitae conteniendo una lista de referencias. Por favor, siéntase libre de llamarme o enviarme un email, si usted tuviera cualquier pregunta con respecto a mi experiencia. Espero tener noticias de usted.

Atentamente,
Janet Simons.)

Contiene además el siguiente texto en las primeras líneas de su código:

‘Better You Than Me Buddy...
‘... Hope You Like My vIrUs
’ :)

Cuando se abre el archivo adjunto infectado, el virus libera dos copias de si mismo.

Una copia en:

C:\Data\Normal.dot

La otra en:

C:\WINDOWS\Start Menu\Programs\StartUp\Explorer.doc

Al cerrarse el documento infectado, el virus intentará borrar todos los archivos en las siguientes ubicaciones:

C:\*.*
C:\My Documents\*.*
C:\WINDOWS\*.*
C:\WINDOWS\SYSTEM\*.*
C:\WINNT\*.*
C:\WINNT\SYSTEM32\*.*
A:\*.*
B:\*.*
D:\*.*

Y así TODAS las letras de unidades hasta :

Z:\*.*

El gusano puede causar una pérdida total de los datos, obligando a la reinstalación de Windows, además de generar un tráfico enorme de mensajes.

Por supuesto, la mejor forma de prevenir esto es, como siempre, NO ABRIR JAMAS archivos adjuntos no solicitados y mantener al día sus antivirus.

Ver también:
28/mar/99 - Virus: Melissa. El comienzo
31/mar/99 - Cuando aún el "Melissa" está al acecho, aparece el "Papa"
25/may/99 - Variante del virus "Melissa" (archivos .RTF)
01/nov/99 - Melissa de nuevo
03/dic/99 - Virus: WM97/Melissa-AD
03/dic/99 - Virus: W97M.Melissa.AA (W97M.Duhalde, W97M/Melissa.O)
23/mar/00 - Virus: WM97/Melissa-AO
23/mar/00 - Virus: WM97/Melissa-AM
07/abr/00 - Virus: W97M/Melissa.au@mm (Elecciones 2000)
17/dic/00 - W97M/Melissa.O3. Envía documentos de Word infectados
21/dic/00 - Virus: Prilissa. El 25 de diciembre formateará su disco
19/ene/01 - Melissa-X (Melissa.W). El retorno del Melissa
08/abr/01 - W97M/Venus.A@mm. Como el Melissa, se propaga via e-mail