Invalid, gusano destructivo se propaga en un falso mensaje supuestamente enviado por Microsoft 

© Jorge Machado  Lima-Perú

InvalidSSL, Invalid@MMW32.Quint@mm, es un gusano reportado los 2 últimos días del mes de Agosto del 2001. Se propaga por correo electrónico, con un archivo anexado con el nombre de SSLPATCH.EXE (Secure Socket Layer). 

Este gusano, contenido en un archivo ejecutable de 12,288 bytes de extensión, está desarrollado en Assembler e infecta sistemas Windows de 32 bits (95/98/Me/NT/2000). Se oculta bajo un falso mensaje de advertencia supuestamente enviado por Microsoft y que pide ejecutar su archivo anexado para corregir una  vulnerabilidad alusiva a los certificados de seguridad SSL.


Está diseñado para propagarse masivamente a través de correo electrónico, pero su rutina de auto-envío tiene algunos defectos de programación o "bugs", sin embargo nada impediría que algunas correcciones lo hiciesen funcionar eficientemente.  

El texto del mensaje habla de un supuesto parche para solucionar un desbordamiento de buffer en Internet Explorer, causado por un certificado SSL (Secure Sockets Layer) mal implementado. Este desbordamiento, según el mensaje, podría permitir a cualquier intruso, el acceso a la computadora de los usuarios afectados que no actualicen esta mejora y ante este supuesto peligro solicita ejecutar el parche anexado en el mensaje.

Al ejecutar SSLPATCH.EXE, intenta extraer las direcciones de correo de las etiquetas MAIL TO: de todos los archivos con extensiones HTA, HTM, HTML, etc., dentro de la carpeta "Mis documentos".

También comprueba si existe una conexión a Internet para ejecutar esta acción, luego intenta auto-enviarse a todas las direcciones encontradas.

Su efectos o payload, de este nuevo gusano son muy nocivos, ya que al ejecutar el archivo SSLPATCH.EXE, su código viral busca todos los archivos con extensión .EXE, en el directorio actual y los encripta, de tal modo que quedarán INUTILIZABLES, con el consiguiente mal funcionamiento de Windows y sus programas.

Finalmente, el virus procede a encriptar en todos los archivos con extensión .EXE en el directorio actual y carpetas anteriores hasta la raíz de C:, dejándolos inutilizables. Al intentar ejecutarlos aparecerá una caja de diálogo con el mensaje "no es una aplicación Win32 válida". El encriptamiento se produce con una clave aleatoria, generada a partir del texto "I.worm.Invalid".

Si no se cuenta con un antivirus actualizado, la única solución será reinstalar los programas afectados o incluso el propio Windows.

PER ANTIVIRUS® versión 7.0 registro de virus al 1o de Septiembre del 2001 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS