MATCHER, gusano que modifica el AUTOEXEC.BAT

© Jorge Machado  Lima-Perú

Matcher, Lonely Hearts Virus, I-Worm Matcher, W32/Matcher, Troj_Matcher.A 

Worm/Matcher es un gusano escrito en Visual Basic 6.0, que no requiere que la librería MSVBVM60.DLL se encuentre instalada en los sistemas que infecta. Se propaga vía Internet, mediante el envío de un archivo anexado en mensajes de correo electrónico. 

Haciendo uso de las características de la interfaz de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado se envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express.

El tamaño del ejecutable enviado es de 28672 bytes.

Este gusano parece estar basado en el virus Melissa, ya que las funciones usadas y secuencia de instrucciones en su código mantienen gran similitud. Cuando se ejecuta el archivo anexado al mensaje, el gusano envía de manera inmediata mensajes infectados y modifica el registro de Windows, para que el archivo infectado sea ejecutado cada vez que Windows se inicie.

El mensaje tiene este formato: 

Asunto     :  Matcher 

Anexado   :  matcher.exe 

Contenido :  Want to find your love mates!!! Try this cool...

(Quieres hallar compañeras de amor !!! Intenta esto que es bonito....


                             Looks and Attitude Maching to opposite sex.
=====================================================

Para instalarse en el sistema, el gusano se auto-copia al directorio C:\Windows\System con el nombre de MATCHER.EXE y registra este archivo en la sección de auto-arranque:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
%SystemDir%\matcher.exe

%SystemDir% es el nombre del directorio de sistema de Windows.  

El gusano también agrega una línea al final del archivo C:\AUTOEXEC.BAT, la cual mostrará mensaje "from: Bugger" esperando a que el usuario digite una tecla para continuar con la carga de Windows:

@echo off
echo from: Bugger
pause 

El grave peligro del payload de este gusano, constituye el hecho de modificar el AUTOEXEC.BAT, ya que nada impediría que nuevas versiones de este gusano, o empleado su misma técnica de programación, puedan agregar al archivo de inicio (AUTOEXEC.BAT) otras instrucciones que podrían ocasionar una serie de daños impredecibles a los sistemas.  

PER ANTIVIRUS® versión 6.8 con registro de virus al 19 de Abril del 2001 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS