|
Win32/Calamida@MM, W32/Lamecada@MM
Calamida es un gusano reportado el 15 de Octubre del 2002, de alta propagación masiva debido a un engañoso mensaje que simula contener un "parche" anexado, para reparar el navegador Internet Explorer, con lo cual confunde al usuario receptor.
Es un PE (Portable Ejecutable) de 13 KB de extensión e infecta Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.
Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje:
"Por favor ejecute esta
instalación para reparar un problema en su Navegador Internet Explorer
Abra el archivo : setup.exe"
Al hacer click en el archivo infectado, el gusano se autocopia con uno de 3 nombres de archivos elegidos aleatoriamente a los directorio %windir% o al %system% con cualquiera de las siguientes rutas:
%windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.
%system% es una variable que corresponde a las rutas C:\Windows\System en Windows 9x/ME y a C:\Winnt\System32 en Windows NT\2000\XP.
Para ejecutarse la próxima vez que se inicie el sistema agrega el siguiente valor a la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
default = "C:\%windir%\W32.WORM.CALAMIDA.exe"
Este gusano no tiene un payload destructivo, siendo su objetivo saturar servidores de Correo, LAN y estaciones de trabajo, pudiendo ocasionar una negación de Servicio DoS (Denial of Service).
PER ANTIVIRUS® versión 7.7 con registro de virus al 15 de Octubre del 2002 detecta y elimina eficientemente este gusano.
