Virus Updater

Efectos:

Updater produce los siguientes efectos:

• Muestra cuadros de diálogo.
• Modificar el nombre del disco duro C:, asignándole el nombre IMELDA.
• Crea ficheros infectados en todas las unidades de disco.
• Se reenvía a todos los contactos que encuentra en la Libreta de direcciones de Outlook.

Metodo de infección:

Updater crea los siguientes ficheros:

• UPDATE.EXE: es una copia de sí mismo en el directorio de Windows.
• UPDATE.VBS: en el directorio de inicio de Windows. Con ello, Updater consigue ejecutarse cada vez que se inicia el sistema.
• Varios ficheros con extensión VBS. Cuando se ejecuta el fichero anterior (UPDATE.VBS), Updater busca ficheros con extensión DOC, EXE y TXT en todas las unidades de disco locales y en todas las unidades mapeadas en red. El gusano no altera el contenido de estos ficheros, pero guarda una copia de sí mismo en el mismo directorio donde se encuentre alguno de ellos. En este caso, utiliza el mismo nombre del fichero encontrado, al cual le agrega la extensión VBS. Por ejemplo, si encuentra el fichero REGEDIT.EXE, se copia en ese mismo directorio con el nombre REGEDIT.EXE.VBS.

Updater crea la siguiente clave en el Registro de Windows:

• HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Update = C:\ WINDOWS\ Update.exe.
  Gracias a esta clave, podrá ejecutarse en cada reinicio de Windows.

Metodo de propagación:

Updater se propaga masivamente a través del correo electrónico. Llega al ordenador en un mensaje con las siguientes características:

• Asunto: Updater lo genera seleccionando un elemento de cada una de las siguientes listas:

  Lista 1: Have you, You Should, Just, Why Not you, How to, Have you, Re: o Fwd :.
  Lista 2: Check, Check out, Watch out, Open o Look at.
  Lista 3: this, my, For this, The, Subject, Picture o Program.
  Lista 4: Report, Documment, Quotation, Transaction, Bank Account, WTC Tragedy, Osama Vs Bush, Account o Private Pic.
  Por ejemplo: Have you Check this Report o You Should Check out For this Document.

• Cuerpo:

  This is the file you ask for, Please save it to disk and
  open this file, it's very important.  

• Fichero adjunto: será alguno de la siguiente lista:

  SETUP.EXE, INSTALL.EXE, README.EXE, FILES.EXE, PICTURE.EXE, QUOTATION.DOC.EXE, LETTER.DOC.EXE, PICTURE.JPG.EXE

La infección se genera cuando se ejecuta el fichero adjunto.

Resulta importante destacar que:

• Updater también puede propagarse a través de red, puesto que copia ficheros infectados en todos los directorios que tengan ficheros con extensión EXE, TXT o DOC, bien de las unidades locales o de las unidades de red  mapeadas  en el ordenador.

• En algunas ocasiones, Updater utiliza al mismo tiempo los campos Destinatario (Para:) y Copia oculta (CCO:), en los que incluye al mismo destinatario. Esto implica que el mensaje que incluye al virus podrá ser recibido por duplicado.

• Updater contiene un error de programación. Debido a ello, en ocasiones, envía alguno de sus mensajes de correo sin incluir archivo adjunto alguno. En esos casos, el ordenador que recibe el mensaje no resulta infectado.

Otros detalles:

Para que conozca un poco más a Updater, aquí le señalamos algunas de sus características:

• Está escrito en lenguaje de programación Visual Basic Script.
• El fichero que genera la infección tiene un tamaño de 12 KB.
• Dentro del código del gusano se puede encontrar el siguiente texto:
  I-WORM.IMELDA.B
  (C)2001, by Iwing
  Virusindo - Indonesian Virus Network
• Para enviarse a todos los contactos de la Libreta de Direcciones del Outlook, el gusano utiliza la interfaz MAPI (interfaz de programación para aplicaciones que gestionan correo electrónico).