Virus: W32/Mineup.Worm. Falsa actualización del "Buscaminas"

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 367 - Año 5 - Martes 10 de julio de 2001

Nombre: W32/Mineup.Worm
Tipo: Gusano
Tamaño: 6686 bytes
Fecha: 5/jul/01

Este gusano, se propaga simulando ser una actualización del conocido juego "Buscaminas" de Windows, y llega a nosotros en un mensaje con el asunto "Is the work so hard ??" y un adjunto de 6686 bytes de nombre "Winmine.exe" (para poder ver las extensiones verdaderas de los archivos de Windows, siga las instrucciones al final de esta descripción).

Está formado por dos componentes, un ejecutable y un código en Visual Basic Script. Este último se encarga de enviar el ejecutable a todos los contactos de la libreta de direcciones del Outlook.

Posee una rutina que se ejecuta el día 15 de todos los meses.

El cuerpo del gusano está escrito en HLL (High-Level Language).

El mismo ejecutable actuará de diferentes maneras de acuerdo al lugar donde se encuentre físicamente al ser ejecutado.

Si ya ha sido instalado, su ubicación sería en la carpeta C:\WINDOWS\SYSTEM.

Si no ha sido ejecutado, su ubicación dependerá desde donde lo está abriendo el usuario. Si lo acaba de recibir vía e-mail, al abrir un adjunto, su ubicación sería C:\WINDOWS\TEMP.

En cualquier caso que no estuviera en C:\WINDOWS\SYSTEM, el gusano mostraría esta ventana al ser ejecutado:

Winmine - Microsoft Corporation (R)
The last update of the game "Winmine" written by Microsoft Corporation
[ Aceptar ]

El nombre del juego realmente es "Buscaminas" (Minesweeper o "Dragaminas" en inglés), y Winmine.exe es el nombre de su ejecutable. El "error" del creador del virus de cualquier modo, es irrelevante para que alguien pueda sospechar, al tratarse de una supuesta actualización. Pocas personas se conocen los nombres exactos de los componentes estándar de Windows (Buscaminas suele instalarse casi siempre por defecto).

Luego de mostrar ese mensaje, el gusano se copia a la carpeta del sistema:

C:\Windows\System\Winmine.exe

El verdadero "Buscaminas" suele estar en C:\Windows y su ejecutable (también Winmine.exe), ocupa 24 Kb.

Si el gusano es ejecutado desde C:\Windows\System, crea en el raíz de la unidad C:, este archivo:

C:\ENVOIE_VBS.vbs

Luego de ello lo ejecuta. Esta rutina en Visual Basic Script, es la que se encarga de enviar el propio código del gusano (Winmine.exe) a toda la libreta del Outlook, en un mensaje con estas características:

Asunto: Is the work so hard ??
Texto: Relax you with the last version of <Winmine>
Adjunto: Winmine.exe (6 Kb)

Si el gusano se ejecuta un día 15 de cualquier mes, despliega un mensaje, e intercambia los botones del ratón, de modo que el botón izquierdo actúa como el derecho, y viceversa.

Para limpiar el gusano de un sistema infectado, ejecute un antivirus al día, y borre los archivos detectados como "Mineup.Worm" o similar.

Recuerde que el archivo C:\WINDOWS\WINMINE.EXE de 24 Kb, es parte de Windows. El virus, suele instalarse en C:\WINDOWS\SYSTEM\WINMINE.EXE y su tamaño es de 6 Kb aprox.

Si no se tiene instalado el Windows Scripting Host (1), el gusano no podrá ejecutar su rutina de propagación. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Glosario:

(1) Windows Scripting Host (WSH). Es un interprete de Java Script y de Visual Basic Script, que puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus en dichos lenguajes. Está instalado por defecto en Windows 98 y posteriores.

Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy