Shatrix, gusano destructivo, infecta vía E-mail y visitando sitios web infectados. Borra archivos.  

© Jorge Machado  Lima-Perú

Win32/Shatrix, W32/Shatrix@MM

Shatrix es una gusano reportado el 04 de Enero del 2002 sumamente destructivo, con una amplia capacidad de propagación masiva en Internet ya que además de auto-enviarse a toda la libreta de direcciones de MS Outlook, puede contagiar a los sistemas con el simple hecho de acceder a una página web previamente infectada. 

Este gusano es un clásico archivo con formato PE (Portable Ejecutable), debido a ello infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000

Fotografía de NBK que exhibe en el portal de CODERZ, que reúne a varios hackers internacionales en plena vigencia. El autor es originario de Río de Janeiro, Brasil, conocido con el seudónimo de NBK y miembro del conocido grupo de hackers y crackers denominado CODERZ

En su portal confiesa ser el autor de la librería INVICTUS.DLL, que es la que genera los payload principales de gusanos que infectan los PE (Portable Executable) dentro del directorio C:\Windows\System,  se ufana de crear virus y llevar una vida bohemia. 

Shatrix se propaga a través de mensajes de correo electrónico con un mensaje con un archivo anexado con el nombre de shake.exe. Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo:

Si el archivo anexado es ejecutado, el gusano ocasionará que las ventanas de Windows activas se muevan, simulando "vibraciones" o "sacudidas" en la pantalla por unos breves segundos, supuestamente para confundir o distraer al usuario, al mismo tiempo que Shatrix se auto-copiará en la carpeta C:\Windows\System con un nombre aleatorio de 8 caracteres con extensión .EXE.

Luego modifica las siguientes llaves del registro de Windows en el campo RUN, con el objeto de activar el código viral del gusano la próxima vez que se inicie Windows.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
SystemInfo = [Nombre aleatorio de 8 caracteres].EXE

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
SystemInfoM = [Nombre aleatorio de 8 caracteres].EXE

Posteriormente, el gusano buscará la carpeta C:\inetpub\wwwroot, ubicada únicamente en los Servidores Web que tengan instalado el MS Internet Information Server, para integrarse a los archivos con extensión .ASP, .HTM y .HTML. Como consecuencia, con el simple hecho de acceder a una página web previamente infectada, el servidor, estación de trabajo o PC doméstica, sufrirán el contagio, el mismo que se propagará en los equipos que estén conectados.  

Finalmente su payload altamente destructivo, buscará en la unidad C: del disco y eliminará todos los archivos que tengan la extensión .EXE, dejando completamente inoperativo al sistema infectado.

Dentro del cuerpo de su código viral se lee:

MatriX is out there
MatriX has You...
MatriX is All around You

PER ANTIVIRUS® versión 7.2 con registro de virus al 05 de Enero del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS