URICK, con archivo anexado de nombre aleatorio. Deshabilita el botón de Inicio de Windows.  

© Jorge Machado  Lima-Perú

WIN32/URICK@mm, I.worm.Urick@mm 

URICK es un gusano reportado el 25 de Julio del 2002, de gran difusión masiva vía correo electrónico, debido a que su mensaje aduce contener "Un truco para Windows" en un archivo anexado de nombre variable, con doble extensión, siendo la primera .jpg y la segunda .exe, y que se propaga a través de la libreta de direcciones de MS Outlook.

Este gusano de 9 KB de promedio tiene un formato PE (Portable Ejecutable) e infecta todos los sistemas operativos operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000. Ejemplo de mensaje:

(Este es un lindo Truco de Windows. Microsoft no ha desarrollado un parche para esto, porque no quiere. Ejecuta el archivo anexado para aprender más de este Truco de Windows. Si no funciona, usa en su lugar un sistema Linux)  

Al ejecutar el archivo infectado, el gusano se auto-copia al sub-directorio C:\Windows\System, así como también a la carpeta personal del usuario del sistema infectado, cuyas rutas, dependiendo de la versión de Windows son las siguientes:   

Win95/98/ME:
C:\Mis Documentos\
Windows NT:
C:\WINNT\Profiles\%Nombre_de_usuario%\Personal\
Windows 2000/XP:
C:\Documents and Settings\%Nombre_de_usuario%\Mis Documentos\

El valor %Nombre_de_usuario% es el nombre del usuario registrado en el sistema. 

La copia del archivo en la carpeta C:\Windows\System emplea el nombre del archivo ejecutable que en forma aleatoria ha extraído del sistema, previamente infectado y le antepone una extensión .jpg

Ejemplo:

Nombre original del archivo: Regedit.exe 

Nombre de archivo anexado infectado: Regedit.jpg.exe 

El gusano crea un llave el registro para ejecutarse la próxima vez que se inicie el sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
default = c:\Mis documentos\regedit.jpg.exe

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo, con un efecto multiplicador

Su payload, además de intentar saturar servidores de correo, LAN, estaciones de trabajo y PC domésticas, consiste en deshabilitar el botón de Inicio en Windows NT/2000/XP y finalmente muestra la siguiente caja de diálogo:

(El truco funcionó)

PER ANTIVIRUS® versión 7.6 con registro de virus al 25 de Julio del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS