|
W32/Zar@mm, I.worm.Zar@mm
Zar es un gusano residente en memoria reportado el 18 de Enero del 2005, de alta propagación masiva a través de mensajes de correo con un archivo Anexado de nombre tsunami.exe.
Al activarse muestra una falsa caja de diálogo e inicia su rutina de envío masivo a los buzones de correo de la Libreta de Direcciones de MS Outlook.
Intenta ocasionar un ataque DoS a un portal de hackers de Alemania.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual Basic con una extensión de 20 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Haciendo uso de las librerías MAPI se envía a los buzones de correo de la Libreta de Direcciones de MS Outlook.
El mensaje tiene estas características:
Asunto: Tsunami Donation! Please help!
Contenido: Please help us with your donation and view the attachment below! We need you!
Anexado: tsunami.exe
Al ser ejecutado se copia al directorio %Windir% con los nombres:
Para activarse la próxima vez que se inicie el sistema genera la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"CaptionMgr32" = "%Windir%\crssr.exe"
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Al siguiente re-inicio del sistema se activa en memoria y muestra la siguiente caja de diálogo:
Independientemente de que el usuario haga o no un click en "OK" el gusano procede a ejecutar sus rutinas de auto-envío masivo de mensajes de correo.
Luego intenta ocasionar un ataque DoS al portal de hackers alemanes con la orden "ping" del ICMP (Internet Control Message Protocol).PER ANTIVIRUS® versión 9.0 y 9.1 con registro de virus al 18 de Enero del 2005 detecta y elimina eficientemente este gusano.
