|
El 02 de Noviembre del 2000 se empezó a propagar en el Perú, a través de mensajes enviados por correo electrónico, un gusano desarrollado en
Borland C.Este mensaje se difunde con un archivo anexado denominado
NAVIDAD.EXE, el cual obviamente no debe ejecutarse. Por sus características, se trata de una copia, algo mediocre, del conocido gusano Worm/PrettyPark, debido a su forma de instalarse en el sistema, así como de no permitir ejecutar aplicaciones, luego de haber sido ejecutado. Esto nos hace sospechar que el autor está "probando" su creación y posiblemente surjan otras variantes.El gusano agrega una entrada al registro, el cual ejecuta el programa "
WINSRVC.VXD" cada vez que se inicie el sistema, y cuando se ejecuta un programa EXE, lo asocia al archivo C:\Windows\Systems\Winsrvc.exe, el cual no existe y presenta una primera ventana con un mensaje de error:
Al ejecutar cualquier programa EXE se mostrará la siguiente ventana:
Asimismo, cuando el usuario abre el archivo NAVIDAD.EXE, el gusano se auto-envía, sin leer la bandeja de entrada, a la libreta de direcciones del software de correo del usuario.
Al infectar a un sistema el gusano NAVIDAD procede a ejecutar las siguientes acciones:
1. Copia el archivo NAVIDAD.EXE a la carpeta C:\Windows\System como "WINSRVC.VXD"
2. Crea la siguiente "llave" en el registro de Windows:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Win32BaseServiceMOD" =
"C:\WINDOWS\SYSTEM\WINSRVC.EXE"
3. Crea un ícono similar a un "ojo", en
la barra de tareas, al costado del campo "hora". Si se posiciona el
puntero del mouse sobre este ícono se muestra el mensaje:
4. Si se hace doble clic sobre el mismo, una ventana indica:
Si el usuario cierra esta ventana, se muestra la
siguiente pantalla:
Si se hace clic en Aceptar
se cerrarán las ventanas de los dos mensajes anteriores y desaparecerá el
icono de la barra de tareas.
PER ANTIVIRUS® detecta y elimina eficientemente este gusano y sus variantes existentes.
