Real e Ilustre Colegio de Abogados de Zaragoza
 
W97M/Resume.A@mm
 
 
  
Nombre: W97M/Resume.A@mm
Alias: W97M/Melissa.bg@mm, Melissa.bg@bg, Resume.A, Resume, Resume.Worm
Categorías del virus: Gusano de Macro
¿Reparable?: Si
Fecha de aparición: 26/05/2000
Nivel de Riesgo (0-5): 4
Nivel de Distribución (0-5): 3
Nivel de Daños (0-5): 5
  
  
Descripción breve: 

          W97M/Resume.A@mm es un gusano de macro, perteneciente al grupo W97M, que afecta y utiliza la aplicación Microsoft Word 97 para extenderse. El gusano llega al sistema como un documento de Word incluido, o adjunto, a un mensaje de correo electrónico. Dicho documento contiene al propio gusano en su interior. Por este motivo W97M/Resume.A@mm se considera un gusano cuya expansión o propagación es extremadamente rápida. Dicho mensaje es enviado a TODAS las direcciones que se encuentran en la Libreta de Direcciones de Outlook del usuario infectado. 

          Su payload se considera extremadamente destructivo ya que consiste en borrar o eliminar ciertos archivos contenidos en el equipo del usuario. Si el receptor del mensaje lo abre y ejecuta (o abre) el documento que porta en su interior, el gusano entrará en acción enviándose a automáticamente por correo electrónico. Al cerrar el documento, el gusano elimina determinados ficheros. 
  
  
Modo de propagación: 
  
          El gusano llega al sistema mediante un documento adjunto o incluido en un mensaje de correo electrónico. Para ello, W97M/Resume.A@mm se envía a sí mismo utilizando la libreta de direcciones del usuario infectado. Esto es, el gusano se envía automáticamente a TODAS las direcciones de correo electrónico que se encuentran almacenadas en la libreta de direcciones de Microsoft Outlook, del usuario infectado. 

          Las características del mensaje que se recibe, son las siguientes: 

          - Asunto: Resume - Janet Simons 
          - Cuerpo (texto que aparece en el mensaje): 
                    To: Director of Sales/Marketing, 
                    Attached is my resume with a list of references contained within. Please feel 
                    free to call or email me if you have any further questions regarding my 
                    experience. I am looking forward to hearing from you. 
                    Sincerely, 
                    Janet Simons. 
          - Attachment, Fichero adjunto o incluido en el mensaje: se trata de un documento de
            Word infectado, con el nombre EXPLORER.DOC. Su tamaño es de 41472 Bytes. 
  
 
Síntomas de infección: 

          Cuando el receptor del mensaje, abre el documento que se adjunta en su interior, el gusano se envía a sí mismo a TODOS los destinatarios cuya dirección se encuentre en la libreta de direcciones de Microsoft Outlook. Cuando dicho documento es cerrado, el gusano que porta en su interior se activa, eliminando o borrando todos los ficheros de los siguientes directorios: 

  • C:\*.*
  • C:\My Documents\*.*
  • C:\WINDOWS\*.*
  • C:\WINDOWS\SYSTEM\*.*
  • C:\WINNT\*.*
  • C:\WINNT\SYSTEM32\*.*
  • A:\*.*
  • B:\*.*
  • D:\*.*
          El gusano elimina todos los fichero contenidos en la raíz de cada una de las unidades de disco, desde la A:\*.*., hasta la Z:\*.*. Por lo tanto, W97M/Resume.A@mm, borra ciertos ficheros de sistema de Windows, necesarios para su correcto funcionamiento. 

          Además, el gusano se copia a sí mismo en los siguientes directorios: 

  • C:\Windows\START MENU\PROGRAMS\STARTUP, con el nombre de EXPLORER.DOC
  • C:\DATA\, con el nombre de NORMAL.DOT
  
Métodos de infección: 
  
          El gusnao se envía a sí mismo como un documento de Word, incluido o adjunto en un mensaje de correo electrónico. Dicho mensaje se envía a todos los usuarios cuyas direcciones se encuentren almacenadas en la Libreta de Direcciones de Microsoft Outlook, correspondiente al usuario infectado. 

          Como nota adicional, comentaremos que en el interior del cuerpo del gusano, se encuentra el siguiente texto, aunque éste nunca se muestra: