Miércoles 15 de noviembre de 2000
Ver también: 29/nov/00 - W32/Music-D y W32/Music-E. Variantes de W32/Music@m
Nombre: W32/Music@M
Tipo: Gusano de Internet
Este gusano llega a nosotros en un mensaje conteniendo la siguiente información:
Para: "All my friends"
De: "Test Mail"
Asunto: "Testing to send file"
Cuerpo del mensaje:
Hi, just testing email using Merry Christmas music
file, not bad music.
Archivo adjunto: Music.com (40 Kb)
Si se pincha sobre el adjunto, se ejecuta el virus (el mismo no funciona bajo WinNT/2000).
Cuando esto ocurre, el gusano despliega una ventana con el título "Merry Christmas", y ejecuta un archivo en formato MIDI (incluido en el cuerpo del virus), con el tema musical navideño: "We Wish You A Merry Christmas".
Además, la página de inicio del browser es alterada.
La primera vez que se corre, el virus escribe una copia de si mismo al archivo SYSMCM.EXE en la carpeta \WINDOWS\SYSTEM\ (luego le da otros nombres, como veremos más adelante).
También modifica el registro de Windows para ejecutarse en el próximo reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SysDrv=C:\WINDOWS\SYSTEM\SYSMCM.EXE
Y también agrega esta clave, en la que guarda la versión del gusano (importante para las actualizaciones que el mismo realizará vía Internet más tarde):
HKLM\SOFTWARE\Microsoft\MCM
Luego de esto, cada vez que Windows es reiniciado, el gusano se ejecuta. Cinco minutos después, intenta conectarse a diferentes sitios de Internet, para bajar componentes actualizados, que le proporcionarán nuevas características.
Uno de los primeros componentes descargados es MSWINSCK.OCX, el cuál el gusano usa para propagarse a través del correo electrónico. La información bajada es guardada en estos archivos:
MSWINSCK[1].TXT
SYSDRV[1].TXT
C:\WINDOWS\SYSTEM\SYSMCM.DLL
C:\WINDOWS\SYSTEM\SYSTMP.DLL
Las direcciones de correo son tomadas de diferentes fuentes, usándose la libreta de direcciones de Windows (archivos .WAB), y las bases de mensajes del Outlook Express (.DBX). Estas direcciones son guardadas en el archivo: C:\WINDOWS\SYSTEM\SYSDBX.DLL (que no es un auténtico DLL).
Una vez actualizado, el virus intenta enviarse vía e-mail, en mensajes separados, a las direcciones capturadas en dicha lista. Luego de ello, el virus no hace nada más hasta el próximo reinicio de la computadora, cuando repetirá el ciclo.
Cuando se actualiza, el virus cambia el nombre de su archivo. SYSMCM.EXE se convierte en SYSDRV.EXE, este en SYSDVR.EXE, etc. Estos cambios son acompañados por las modificaciones necesarias en el registro.
Para eliminarlo en forma manual
Primero, remueva las entradas del registro, siguiendo estos pasos (ATENCION, proceda con cuidado cada vez que haga modificaciones en el registro de Windows):
1) Salga de todos los programas.
2) Vaya a Inicio, Ejecutar.
3) Teclee REGEDIT y pulse Enter.
4) En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
5) Pulse sobre la carpeta "Run".
Si en la ventana de la derecha aparece este valor:
SysDrv
6) Borre la clave completa (marque el nombre
"SysDrv" y pulse DELETE o SUPR.
7) Conteste que SI a la pregunta de confirmación en cada caso.
8) En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada:
HKEY_LOCAL_MACHINE
Software
Microsoft
MSM
9) Marque la carpeta "MSM" y borre la clave completa,
pulsando DELETE o SUPR.
10) Salga del editor del registro (Registro, Salir).
11) Vaya a Inicio, Apagar el sistema. Seleccione "Reiniciar" y OK.
Borre los archivos creados o descargados por el gusano
1) Pinche en Inicio, Buscar, Archivos o carpetas.
2) Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".
3) En la casilla "Nombre" escriba (o "corte y pegue") los siguientes nombres (repita este paso un archivo por vez si no desea confundirse, pinchando en "Nueva Búsqueda" cada vez luego de la primera):
SYSMCM.EXE
MSWINSCK[1].TXT
SYSDRV[1].TXT
SYSMCM.DLL
SYSTMP.DLL
MSWINSCK.OCX
SYSDBX.DLL
SYSDRV.EXE
SYSDVR.EXE
4) Pinche en "Buscar ahora". Windows buscará todas las copias de este archivo en la unidad C:
5) Si aparecen, márquelos (recuerde, repita los pasos 3 y 4 una vez por cada archivo sino desea confundirse)
6) Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado (repita los pasos desde 3 en caso necesario).
7) Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".
8) Cambie la página de inicio de su browser por su preferida
9) Revise su PC con un antivirus al día.
Ver también: Virus: W32/Music-D y W32/Music-E. Variantes de W32/Music@m
Fuente: Descripción del virus hecha por McAfee
|