LatinoSeguridad

Menú

Importante

Alerta de virus

Worm.W32/Syney@MM

Alias:
W32.HLLW.Syney@mm (Symantec)

Descripción:
Gusano que se propaga mediante el envío masivo de correos electrónicos através de Microsoft Outlook.

Tiene capacidad para eliminar ficheros del sistema Windows.

Detalles:
Cuando Worm.W32/Syney@MM es ejecutado, realiza las siguientes acciones:

Se copia a sí mismo en las siguientes ubicaciones:
- C:\Virus.exe
- C:\Attach.exe
- C:\Worm.exe
- C:\Windows\Worm.exe
- C:\Windows\System\WinSys.dll
- C:\DosBoot.exe
- C:\Windows\NortonAntiVirus.exe
- C:\Windows\Desktop\Norton AntiVirus 2003.exe
- C:\Windows\System32\WinSys.dll
- C:\Windows\Start Menu\Programs\Startup\NortonAntiVirus.exe
- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Backup.exe
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, el gusano añade el valor indicado a la siguiente clave del registro de Windows:
```
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\windows\
currentversion\runservices
Valor: SYDNEY = - ruta original del fichero -
```
Elimina los siguientes ficheros:
- C:\Windows\Desktop\*.Ink
- C:\Windows\FONTS\*.ttf
- C:\Windows\SYSBCKUP\*.dat
- C:\Windows\SYSBCKUP\*.dll
- C:\Windows\ *.pwl
- C:\\Windows\Regedit.exe
- C:\Program Files\Common Files\Symantec Shared\*.exe
- C:\Program Files\Norton AntiVirus\*.exe
- C:\Program Files\Norton AntiVirus\*.ini
- C:\Program Files\Norton AntiVirus\*.Vxd
- C:\Program Files\Norton AntiVirus\*.Dat
Crea los siguientes ficheros:
- C:\Windows\Desktop\Read Me.txt que contiene el siguiente texto:
```
Dear User,
You have problably Noticed you Windows Start-Up and 
Shutdown screens where modifyed
This is because you Machine is Infected with the w32.Sydney Worm.
Download a Virus Removal tool from www.Norton.com
I love You!
```
- C:\Batch.Bat, el cual lanza ataques de Denegación de Servicio (DoS) el 7 de octubre de 2003 contra los siguientes sitios web:
  - www.micrsoft.com
  - www.norton.com
  - www.mcafee.com
- C:\VirusGen.Bat, que se copia y ejecuta a sí mismo desde las siguientes ubicaciones:
  - %System%\%Random%\%Random%.bat
  - Program Files\%Random%\%Random%.bat
  - %Windir%\%Random%\%Random%.bat
  Notas:
  - %Random% es un número generado aleatoriamente por el sistema.
  - %Windir% es variable. El gusano localiza el directorio de instalación de Windows (por defecto C:\Windows o C:\Winnt) y se replica en esa ubicación.
  - %System% es variable. El gusano localiza el directorio System y se replica en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
- C:\Time.Bat que realiza las siguientes acciones:
  - Pone el reloj del sistema a las 10:00
  - Establece la unidad C: como directorio compartido, con el nombre de recurso "Sydney".
- C:\Windows\Squeaky.txt, que contiene el siguiente texto:
```
The Sydney worm has been here
```
- C:\NAVKILL.Bat, que intenta eliminar el fichero C:\Program Files\Common Files\Symantec Shared\CCAP.EXE
- C:\DosBoot\Autoexec.bat, el cual ejecuta a C:\Virus.Exe.
Modifica el fichero C:\Autoexec.bat de modo que cada vez que se reinicie Windows:
- Ejecuta C:\Virus.Exe.
- Intenta eliminar el archivo C:\Program Files\Common Files\
  Symantec Shared\CCAP.EXE.
Si la fecha del sistema es el 25 de Junio de 2003, el gusano realiza las siguientes acciones:
- Elimina C:\*com.
- Borra los ficheros de los directorios C:\Windows\System y C:\Windows con las extensiones .dll, .exe, .pwl, .pas, .sys, .bmp, .pif y .ink.
- Sobreescribe los ficheros:
  - C:\WINDOWS\CURSORS\Arrow_m.cur
  - C:\Windows\Logow.Sys
También podría copiarse a sí mismo en una o más de las siguientes ubicaciones:
- C:\aVirus.exe
- C:\Aattach.exe
- C:\Viarus.exe
- C:\Attaach.exe
- C:\Viruas.exe
- C:\Attacah.exe
- C:\wVirus.exe
- C:\Awttach.exe
- C:\Viwrus.exe
- C:\Veirus.exe
- C:\Attwach.exe
- C:\Viruws.exe
- C:\Attacwh.exe
- C:\eVirus.exe
- C:\Aettach.exe
- C:\Vierus.exe
- C:\Atteach.exe
- C:\Virues.exe
- C:\Attaceh.exe
- C:\wAttach.exe
- C:\Vdirus.exe
- C:\Atftach.exe
- C:\Virfus.exe
- C:\Attafch.exe
- C:\Virusf.exe
- C:\Aqttach.exe
- C:\qVirus.exe
- C:\Atqtach.exe
- C:\Virqus.exe
- C:\Attaqch.exe
- C:\zVirusq.exe
- C:\Azttach.exe
- C:\Vizrus.exe
- C:\Attzach.exe
- C:\Viruzs.exe
- C:\Attaczh.exe
- C:\Atetach.exe
- C:\Vireus.exe
- C:\Attaech.exe
- C:\Viruse.exe
- C:\rAttach.exe
- C:\Vrirus.exe
- C:\Atrtach.exe
- C:\Virrus.exe
- C:\Attarch.exe
- C:\Virusr.exe
- C:\yAttach.exe
- C:\Vyirus.exe
- C:\Atytach.exe
- C:\Viryus.exe
- C:\Attaych.exe
- C:\Virusy.exe
- C:\Attachy.exe
- C:\Attahch.exe
- C:\Virush.exe
- C:\hAttach.exe
- C:\Vhirus.exe
- C:\Athtach.exe
- C:\Virhhus.exe
- C:\Attachh.exe
- C:\rVirus.exe
- C:\Arttach.exe
- C:\Attrrach.exe
- C:\tAttach.exe
- C:\Vtirus.exe
- C:\Attttach.exe
- C:\Attatch.exe
- C:\Virust.exe
- C:\Atttacht.exe
- C:\Viruts.exe
- C:\Vttirus.exe
- C:\Attacht.exe
- C:\Virust.etxe
- C:\Virus.texe
- C:\Attacth.exe
- C:\Virust.texe
- C:\Virus.etxe
- C:\Attach.etxe
- C:\Virus.exet
- C:\Windows\rAttach.exe
- C:\Windows\Vrirus.exe
- C:\Windows\Atrtach.exe
- C:\Windows\Virrus.exe
- C:\Windows\Attarch.exe
- C:\Windows\Virusr.exe
- C:\Windows\yAttach.exe
- C:\Windows\Vyirus.exe
- C:\Windows\Atytach.exe
- C:\Windows\Viryus.exe
- C:\Windows\Attaych.exe
- C:\Windows\Virus.exe
- C:\Windows\Virusy.exe
- C:\Windows\Attachy.exe
- C:\Windows\Attahch.exe
- C:\Windows\Virush.exe
- C:\Windows\hAttach.exe
- C:\Windows\Vhirus.exe
- C:\Windows\Athtach.exe
- C:\Windows\Virhhus.exe
- C:\Windows\Attachh.exe
- C:\Windows\rVirus.exe
- C:\Windows\Arttach.exe
- C:\Windows\Attrrach.exe
- C:\Windows\Attach.exe
- C:\Windows\tAttach.exe
- C:\Windows\Vtirus.exe
- C:\Windows\Attttach.exe
- C:\Windows\Attatch.exe
- C:\Windows\Virust.exe
- C:\Windows\Atttacht.exe
- C:\Windows\Viruts.exe
- C:\Windows\Vttirus.exe
- C:\Windows\Attacht.exe
- C:\Windows\Virust.etxe
- C:\Windows\Virus.texe
- C:\Windows\Attacth.exe
- C:\Windows\Virust.texe
- C:\Windows\Virus.etxe
- C:\Windows\Attach.etxe
- C:\Windows\Virus.exet

Solución:

Uso de antivirus actualizado.

Más información acerca de este virus en:

Symantec

Fuente: red.es