viernes, 12 de septiembre de 2008

Malware Medellin

Hace unos días se ha dado a conocer una amenaza conocida con el nombre Medellín, la cual se propaga por correo electrónico y a través de la ejecución automática en dispositivos USB.

Este gusano genera mensajes provocativos hacia el usuario y luego procede a eliminar ciertos componentes del sistema operativo, necesarias para el funcionamiento del mismo. Debido a esto, posterior a la infección con este gusano, el sistema no volverá a arrancar.



Luego de mostrar estos mensajes, realiza las siguientes acciones en el disco local y particiones:

* Elimina archivos, algunos de ellos indispensables para el sistema operativo:
o C:\boot.ini
o C:\ntldr
o C:\NTDETECT.COM
o C:\AUTOEXEC.BAT
o C:\WINDOWS\regedit.exe
o C:\WINDOWS\notepad.exe
* Crea el archivo autorun.inf y wind.exe en la raíz de todos los discos y unidades disponibles en el sistema.
* Genera las siguientes carpetas y archivos:
o D:\TONTOS
o D:\PAILAS
o C:\HOLA
o C:\COMO
o C:\ESTAS
o C:\PAILAS
o C:\MEDELLIN
o D:\documentos
o D:\SOMOSMEDALLO
o D:\MEDELLIN
* Crea el archivo C:\WINDOWS\system32\wind.exe
* Crea el archivo D:\documentos\chicas.exe
* Agrega la siguientes entradas en el registro:
o HKLM\Software\Microsoft\Windows\CurrentVersion\Run con los siguientes valores:
C:\WINDOWS\system32\wind.exe
D:\documentos\chicas.exe

Esta amenaza es detectada por ESET NOD32 como Win32AutoRun.YU:


En una posible infección, los archivos eliminados por este gusano pueden recuperarse desde otro sistema sin infectar o desde el CD de Windows 2000 o Windows XP, utilizado la consola de recuperación.

Para evitar la infección, como siempre es fundamental contar con un antivirus actualizado como ESET NOD32 que detecte este tipo de malware en todo momento y, en este caso también se puede prevenir la ejecución automática a través de dispositivos USB para evitar propagar esta infección.

No hay comentarios:

Publicar un comentario en la entrada