Descripción breve: W32Magistr.B@MM es un gusano polimórfico bastante complejo que se envía a varias direcciones de correo obtenidas de distintas fuentes. Aparte de esto, infecta los archivos PE (portable executable) que encuentre en el disco duro. Sin embargo, si el archivo encontrado tiene extensión EXE o SCR y su nombre comienza por la cadena grpc, no resultará infectado. En el 95 por ciento de los casos este gusano sobreescribe los ficheros que encuentra en el sistema afectado con el siguiente texto: YOUARESHIT. Sin embargo, en algunas ocasiones, elimina los ficheros que encuentra a su paso.
Por otra parte este gusano envía mensajes de correo electrónico
con asunto y cuerpo aleatorio. Estos mensjes incorporan un fichero adjunto
infectado. Adicionalmete, los mensajes enviados contienen otro fichero
adjunto que podrá tener una de las siguientes extensiones: DOC,
TXT, INI o GIF.
El asunto y el cuerpo del mensaje son parte del texto de un fichero escogido aleatoriamente entre los ficheros que se encuentren en el disco duro del equipo afectado.
Los ficheros infectados que envía por correo pueden tener una de
las siguientes extensiones: PIF, COM, BAT y EXE. Adicionalmente, además
del fichero infectado, este gusano es capaz de adjuntar otros ficheros.
Éstos podrán tener las siguientes extensiones: DOC, TXT,
INI o GIF.
Este gusano infecta los ficheros ejectuables de tipo PE que encuentre en el sistema. Sin embargo, el fichero no resultará infectado si tiene extensión EXE o SCR y su nombre empieza por grpc. Normalmente, este gusano codifica los ficheros infectados utilizando el nombre de la máquina donde tiene lugar la infección. Para ello utiliza una operación XOR. Por este motivo un fichero infectado en un ordenador no funcionará correctamente en otros ordenadores. Si se intenta ejecutar el fichero se producirá un bloqueo del mismo. Adicionalmente, mientras busca nuevos ficheros que infectar destruye los ficheros con extensión .NTZ que encuentre en el sistema. Otra de las acciones que lleva a cabo este gusano consiste en cerrar la ventana de la aplicación de Firewall denominada ZoneAlarm en caso de que ésta se encuentre en el sistema afectado. En cuanto a otros síntomas que delaten la presencia de este gusano en el sistema, podemos destacar el hecho de que los iconos del escritorio se mueven en la dirección del puntero del rátón. Por último, respecto al payload destructivo del gusano, podemos señalar que posee una rutina encriptada que, una vez desencriptada, realiza las siguientes acciones: Sobreeescribe \NTLDR y \WINDOWS\WIN.COM con un codigo, que al ser ejecutado, sobreescribe sectores del primer disco duro. Sobreescribe los ficheros que encuentra en el sistema afectado con el siguiente texto: YOUARESHIT. Esto ocurrirá tanto en las unidades lógicas como en aquellas que ya se encuentren mapeadas o que el propio gusano pueda mapear. Sin embargo, en ciertas ocasiones no sobreescribe estos ficheros. Por el contrario, procede a borrar los ficheros que encuentra. Esto sucede en el 5% de los casos.
Muestra el siguiente mensaje en la pantalla:
En máquinas Win9x, el gusano toma el control del núcleo del sistema mediante un exploit y borra sectores del disco duro.
A continuación, el gusano espera durante 0,9 segundos y entra en
un bucle que le llevará a volver a sobreecribir los ficheros que
encuentre en el sistema con el texto arriba mencionado.
Esta variante del gusano aumenta el número de directorios en los
que busca los ficheros WIN.INI y SYSTEM.INI con el fin de asegurar su ejecución
en el próximo arranque del sistema. En concreto, busca estos ficheros
en los siguientes directorios: WINNT", "WINDOWS", "WIN95", "WIN98", "WINME",
"WIN2000", "WIN2K", y "WINXP."
Descargue el fichero PQREMOVE.COM (910Kb.) y guárdelo en el directorio que usted desee (puede descargarlo, pinchando sobre las siguientes direcciones).
Web de Panda: updates.pandasoftware.com/magistr.b/pqremove.com
Ejecute el fichero PQREMOVE.COM haciendo doble clic sobre él.
Una vez realizados estos pasos su equipo quedará completamente desinfectado.
|