W32/Noteup@mm

Noteup es un gusano reportado el 16 de Octubre del 2003, de alta propagación masiva, a través de mensajes de correo con un archivo anexado de nombre SymantecUpdates.vbs, que simula contener una actualización de Symantec para la "protección de los sistemas". 

No posee efectos destructivos y su único propósito es propagarse masivamente para saturar servidores de Correo y los sistemas de los equipos que logre infectar. 

Es un Visual Basic Script e infecta Windows 95/98/NT/Me/2000/XP/Server 2003, incluyendo los servidores NT/2000/Server 2003 con una extensión de apenas 1.8 KB y no se encuentra comprimido.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

La muestra fue enviada por un miembro del portal de virus de Indonesia:

http://www.indovirus.net (actualmente clausurado)

Al ejecutar el archivo, el gusano se auto-copia a la carpeta %System% con los siguientes nombres:

• %System%\SymantecUpdates.vbs
• %System%\ChkMgr32.vbs

Para activarse la próxima vez que se inicie el sistema crea la siguiente llave de registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"FileManager32" ="Wscript.exe %System%\ChkMgr32.vbs %1"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Su payloads es el siguiente: