|
W32/Calil@MM , W32/Lilac@MM
Calil es un gusano reportado el 08 de Julio del 2002 que se propaga masivamente mediante el envío de mensajes de correo con un archivo anexado de nombre LILAC_WHAT_A_WONDERFULNAME.avi.exe, que simula contener un atractivo video.
Escrito en Visual Basic 6.0, tiene 12 KB y está comprimido con el Petit Win32 Executable Compressor:El gusano es un PE (Portable Ejecutable) e infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.
Una vez ejecutado el archivo infectado, se muestra en la pantalla el siguiente mensaje de error:
Al hacer un click en "OK", el gusano se auto-copia a la carpeta Temporal del directorio de Windows como C:\Windows\Temp\LILAC_WHAT_A_WONDERFULNAME.avi.exe
Para ejecutarse en el próximo inicio del sistema, crea la siguiente llave de registro
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Lilac =
“%windir%\temp\LILAC_WHAT_A_WONDERFULNAME.avi.exe”
%windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.
También agrega esta llave en el registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon]La siguiente vez que se inicie el sistema el gusano se auto-enviará a toda los buzones de correo de la Libreta de Direcciones de MS Outlook y Outlook Express.
Y muestra la siguiente caja de diálogo:
Calil no tiene efectos destructivos y su payload consiste en saturar servidores de correo, LAN, estaciones de trabajo y PC domésticas.
PER ANTIVIRUS® versión 7.5 con registro de virus al 08 de Julio del 2002 detecta y elimina eficientemente este gusano.
