A última hora de ayer, viernes 26, se detectó la propagación de esta
peligrosa variante de Melissa, también denominada W97M.Melissa.bg,
que borra el directorio raíz de todas las unidades, los archivos de
sistema de Windows 9x/NT y la carpeta “My Documents”. Viaja en un
documento de Word 97 adjunto en un mensaje de correo con el asunto:
“Resume – Janet Simons”, simulando el envío de un curriculum vitae.
El correo electrónico llega con el remitente de un usuario infectado,
dirigido a el usuario que recibe el gusano, el asunto “Resume -Janet
Simons”, comentado anteriormente, y el siguiente texto en el cuerpo
del mensaje:
—
To: Director of Sales/Marketing,
Attached is my resume with a list of references contained within.
Please feel free to call or email me if you have any further
questions regarding my experience.
I am looking forward to hearing from you.
Sincerely,
Janet Simons.
—
Adjunto al correo viaja el documento de Word 97 infectado,
originalmente como RESUME1.DOC, también se han detectado casos con los
nombres de fichero EXPLORER.DOC y NORMAL.DOT. Hay que tener en cuenta
que tanto la nomenclatura, como el asunto y cuerpo del mensaje,
podrían ser fácilmente modificadas, cosa muy probable que ocurra
durante la semana a medida que vayan surgiendo variantes del gusano.
El documento de Word infectado contiene dos macros. La primera,
Document_Open, que se ejecuta cuando se abre el documento, tiene como
misión conectar con Microsoft Outlook para leer la libreta de
direcciones y enviar un mensaje para cada uno de los contactos con el
mismo contenido -asunto, cuerpo, documento adjunto- que ya hemos
comentado.
La otra macro, Document_Close, se ejecuta cuando se cierra el
documento, y su fin consiste en crear dos copias del archivo
infectado, una en:
“C:\WINDOWS\Start Menu\Programs\StartUp\Explorer.doc”, que provocaría
que el documento se abra cada vez que se inicie una sesión en Windows,
y otra como “C:\Data\Normal.dot”.
Por último, el gusano lleva a cabo su acción dañina, que consiste en
borrar todos los ficheros del directorio raíz de todas las unidades
existentes, desde la “A:” a la “Z:, los ficheros de Windows:
“C:\WINDOWS\*.*”
“C:\WINDOWS\SYSTEM\*.*”
“C:\WINNT\*.*”
“C:\WINNT\SYSTEM32\*.*”
y la carpeta de documentos de Office por defecto
“C:\My Documents\*.*”
Todas las trayectorias de los subdirectorios a las que el gusano
apunta para realizar las copias de si mismo, y durante la rutina de
eliminación de ficheros, vienen fijas en el código del gusano, por lo
que sólo tendrán efecto si existen en el sistema infectado. Una
muestra más de que el nivel técnico del gusano, como ocurre en estos
casos, es muy bajo, y su poder de expansión se basa más en la
Ingeniería Social, en el factor humano, que se deja engañar por el
texto del mensaje.
De momento “W97M.RESUME.A”, alias “W97.Melissa.bg” ha conseguido
expandirse entre cientos de sistemas, su incidencia es baja, sobre
todo debido a que su propagación ha comenzado durante el fin de
semana y muchos usuarios no recogerán su correo corporativo hasta el
lunes. Esperamos que para entonces todos los antivirus hayan
suministrado las actualizaciones correspondientes que, junto con la
información dada, evite una mayor incidencia.
Por último recordar, para aquellos que lleguen a sufrir los efectos
del virus, como paso fundamental antes de proceder a la reinstalación
de Windows, la necesidad de eliminar los archivos infectados.
Especialmente el archivo Explorer.doc de la carpeta
“C:\WINDOWS\Start Menu\Programs\StartUp\”. Ya que de otra forma,
volverán a sufrir los efectos del virus, tras el primer arranque del
sistema una vez reinstalado.
Más información:
Symantec
AVP
DataFellows
Computer Associates
bernardo@hispasec.com
Deja un comentario