Al ser ejecutado se desempaqueta en memoria y auto-copia al directorio %Windir% como Master.exe y para ejecutarse la próxima vez que se re-inicie el sistema, modifica la siguiente llave de registro:
|
W32/Josam@mm, I.worm.Josam@mm
Josam es un gusano residente en memoria, reportado el 05 de Noviembre del 2004, de alta propagación masiva a través de mensajes de correo simulando ser enviado por Symantec, con un archivo de nombre TCPup.zip el cual se desempaqueta y libera el archivo Master.exe.A causa de su falso Remitente, Asunto y Contenido se ha propagado en forma masiva en la mayoría de países de habla hispana.
Para infectar, el gusano verifica la presencia de los archivos Vcl50.bpl y NMFast50.bpl de Borland Delphi, lo cual es frecuente al existir muchas aplicaciones o herramientas utilitarias desarrolladas en este lenguaje.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Borland Delphi con 106 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
El gusano emplea el SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo capturados en la Libreta de Direcciones de Windows (WAB) y de MS Outlook.
El mensaje tiene las siguientes
características:
Al ser ejecutado se desempaqueta en memoria
y auto-copia al directorio %Windir% como Master.exe
y para ejecutarse la próxima vez que se re-inicie el sistema, modifica la
siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsKeyUpdate" =
"%Windir%\Master.exe"
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Al siguiente reinicio, el gusano ejecuta su rutina de propagación masiva.
Sus payloads son los siguientes:
PER ANTIVIRUS® versión 8.9 con registro de virus al 05 de Noviembre del 2004 detecta y elimina eficientemente este gusano.
