|
VSantivirus No. 146 - Año 4 - Viernes 1 de diciembre de 2000
Nombre: Troj_Shockwave.A
Alias: Creative, Troj_Prolin.A, W32.Prolin.Worm.
Tipo: Trojan y Gusano de Internet
Sistema: Windows
Tamaño: 36,864 Bytes
Fecha: 30/11/00
Este virus llega a nosotros como una supuesta animación realizada en Shockwave Flash, lo que ha ocasionado innumerables reportes de infección en pocas horas, según alerta Trend Micro.
El gusano se propaga enviándose a si mismo como un archivo adjunto a todos los contactos de la libreta de direcciones del Outlook.
El mensaje recibido tiene estas características:
Asunto:
A great Shockwave flash movie
Texto:
Check out his new flash movie that I download just
now...It's Great
Bye
Archivo adjunto: CREATIVE.EXE
(Revisa esta nueva película en flash que he bajado recién... Es grandiosa)
Que un amigo (su dirección fue sacada de su libreta de direcciones, así que alguna vez entablaron correspondencia) le envíe una película así, es suficiente para hacer caer a más de un incauto. Por fortuna (y por ahora al menos), entre los usuarios hispanos, el hecho de arribarnos el mensaje en inglés, disminuye bastante la posibilidad de infección.
Y si el usuario lo ejecuta (doble clic sobre el adjunto), el trojan libera una copia de si mismo en
C:\creative.exe, y en C:\WINDOWS\Menú
Inicio\Programas\Inicio\creative.exe. Esto último permite que el virus se ejecute en cada reinicio de Windows.
También crea el archivo C:\MESSAGEFORU.TXT, el cuál contiene todas las modificaciones de archivos hechas por el virus, como veremos más adelante.
El trojan también busca todos los archivos JPG y ZIP en el disco duro, y los mueve al directorio raíz de C:\.
Además, les agrega al nombre de estos archivos el texto
"change atleast now to LINUX" (al menos cambie ahora por Linux).
Por ejemplo "ARCHIVO.ZIP" quedará como "ARCHIVO.ZIPchange atleast now to LINUX". El archivo C:\MESSAGEFORU.TXT guarda la ubicación original de cada archivo, y puede ser usado para restaurar los archivos movidos a sus lugares originales, por supuesto renombrándolos, una tarea que podría ser muy engorrosa.
Si abrimos con el bloc de notas u otro editor de texto, el archivo C:\ MESSAGEFORU.TXT, podremos encontrarnos además de lo dicho, con el siguiente mensaje:
Hi, guess you have got the message. I have kept a list of files that I have infected under this. If you are smart enough just reverse back the process. i could have done far better damage, i could have even completely wiped your harddisk. Remember this is a warning & get it sound and clear... - The Penguin
(Hola, supongo usted recibió el mensaje. Yo he guardado una lista de los archivos infectados aquí debajo. Si usted es inteligente eso será suficiente para revertir el proceso. Yo podría haber llevado más lejos el daño, incluso podría haber limpiado completamente su disco duro. Recuerde que esto es una advertencia y parece ser fuerte y clara... - El Pingüino)
Luego de mandar cada mensaje infectado, el virus envía otro
mensaje sin adjuntos, presumiblemente al autor del virus:
Para: z14xym432@yahoo.com
Asunto: Job complete
Texto: Got yet another idiot
Por supuesto, jamás abra ningún archivo adjunto que usted no solicitó, y mucho menos en este caso, ningún archivo
"CREATIVE.EXE", anexo a un mensaje con el asunto
"A great Shockwave flash movie".
Recuerde y practique siempre nuestras "Pautas generales para mantenerse alejado de los
virus".
Fuentes: Trend Micro, Symantec.
|
|