W32/Assiral.B@mm, W32/Larissa.B@mm, I.worm.assiral.b@mm

Actúa como "dropper" ya que al activarse libera varios archivos componentes.

Se copia a todas las unidades de disco o a traves de la red a la carpeta raíz de los recursos compartidos.

Termina los procesos de antivirus, firewalls y software de control, así como los creados por las variantes del gusano BROPIA que infecta el MS Messenger.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con una extensión de 42.5 KB y comprimido con el utilitario ASPack:

http://www.aspack.com 

Para propagarse usa su componente WINVBS_32.VBS que manipula la Libreta de Direcciones de MS Outlook.

El mensaje tiene las siguientes características:

Asunto: Re: LOV YA !
Contenido: Kindly read and reply to my LOVE LETTER in the attachments :-)
Anexado: LOVE_LETTER.TXT.exe

Al ser activado el gusano se copia a la carpeta %System% y al directorio %Windir% con los nombres:

• %System%\MS_LARISSA.EXE
• %Windows%\SPOOLMGR.EXE
• %Windows%\LOVE_LETTER.TXT.EXE

libera sus archivos componentes en las siguientes rutas y con los nombres:

• C:\Windows\WINVBS_32.VBS (componente de envío masivo de mensajes)
• C:\Windows\system32\REG_32.VBS (componente Payload)

y copia al directorio raíz los siguientes archivos inocuos:

• C:\LARISSA_ANTI_BROPIA.HTML
• C:\MESSAGE.TXT

Para ejecutarse la próxima vez que se inicie el sistema genera la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"MS_LARISSA" = "%System%\MS_LARISSA.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"SpoolSV Manager" = "%Windows%\SpoolMgr.exe"

Al siguiente re-inicio el gusano muestra en pantalla el texto del archivo LARISSA_ANTI_BROPIA.HTML:

El archivo MESSAGE.TXT contiene las siguientes cadenas de texto:

y sin intervención del usuario termina los procesos de los siguientes antivirus, firewalls y archivos de control:

• alogserv.exe
• APVXDWIN.EXE
• ATUPDATER.EXE
• AUPDATE.EXE
• AUTODOWN.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• Avconsol.exe
• AVENGINE.EXE
• AVPUPD.EXE
• Avsynmgr.exe
• AVWUPD32.EXE
• AVXQUAR.EXE
• bawindo.exe
• blackd.exe
• ccApp.exe
• ccEvtMgr.exe
• ccProxy.exe
• ccPxySvc.exe
• CFIAUDIT.EXE
• DefWatch.exe
• DRWEBUPW.EXE
• ESCANH95.EXE
• ESCANHNT.EXE
• FIREWALL.EXE
• FrameworkService.exe
• ICSSUPPNT.EXE
• ICSUPP95.EXE
• LUALL.EXE
• LUCOMS~1.EXE
• mcagent.exe
• mcshield.exe
• MCUPDATE.EXE
• mcvsescn.exe
• mcvsrte.exe
• mcvsshld.exe
• navapsvc.exe
• navapw32.exe
• NISUM.EXE
• nopdb.exe
• NPROTECT.EXE
• NUPGRADE.EXE
• OUTPOST.EXE
• PavFires.exe
• pavProxy.exe
• pavsrv50.exe
• Rtvscan.exe
• RuLaunch.exe
• SAVScan.exe
• SHSTAT.EXE
• SNDSrvc.exe
• SpySweeper.exe
• symlcsvc.exe
• UPDATE.EXE
• UpdaterUI.exe
• Vshwin32.exe
• VsStat.exe
• VsTskMgr.exe

termina los procesos asociados a las variantes del gusano BROPIA, que recientemente ha venido infectando a los contactos del MSN Messenger.

• Beautiful Ass.pif
• bedroom-things.pif
• cz.exe
• Hot.pif
• ISASS.EXE
• John Kerry as Super Chicken.scr
• Kool.pif
• Me & you pic!.pif
• Me Pissed!.pif
• msnmsr.exe
• my_pussy.pif
• naked_drunk.pif
• new_webcam.pif
• ROFL.pif
• sexy.pif
• She Could Fit her Ass in a Teacup.pif
• she's fuckin fit.pif
• titanic2.jpg.pif
• underware.pif
• Webcam.pif

Intenta conectarse a una dirección en www.geocities.com (actualmente desactivada) para descargar el gráfico de una mujer.

Finalmente el gusano se copia a todas las unidades de disco o a traves de la red a la carpeta raíz de los recursos compartidos.

PER ANTIVIRUS® versión 9.1 con registro de virus al 23 de Febrero del 2005 detecta y elimina eficientemente este gusano.