Email-Worm.Win32.Zar.a
Alias:
W32/Generic.a@MM, W32.Zar.A@mm, WIN.WORM.Virus, W32/VBSun-A, W32/Zar.A.worm
Información Técnica:
Este gusano se propaga por Internet mediante un archivo adjunto a los mensajes infectados. Se reenvía a todas las direcciones de e-mail encontradas en el ordenador de la victima.
El formato que tiene el archivo del virus es un ejecutable .EXE de Windows. Esta escrito en Visual Basic y tiene un tamaño aproximado de 20KB.
Infección:
Al instalarse en el ordenador de la víctima, el gusano se copia en el directorio raíz de Windows con los siguientes nombres:
%WinDir%\crssr.exe
%WinDir%\raz32.exe
%WinDir%\tsunami.exe
Y crea una nueva entrada en el registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"CaptionMgr32" = "%systemroot%\crssr.exe"
Con esto, el virus se asegura de que una copia del gusano sea ejecutada cada vez la víctima reinicia el ordenador.
Cuando se ejecuta el virus, este hace que aparezca por pantalla el siguiente cuadro de mensaje:
Progapación:
El gusano busca en la libreta de direcciones del MS Outlook para despues reenviarse a las direcciones e-mail encontradas. El gusano se reenvia utilizando el propio programa de correo utilizado en el ordenador infectado.
Los mensajes infectado tienen la siguiente estructura:
Asunto:
Tsunami Donation! Please help!
Cuerpo mensaje:
Please help us with your donation and view the attachment below!
We need you!
Archivo adjunto:
tsunami.exe
Desinfección:
La protección contra el Email-Worm.Win32.Zar.a ya se añadió a las bases de virus de Kaspersky Antivirus, mantenga actualizado su Antivirus.
Para desinfectarlo actualize las bases antivirus y proceda a ejecutar el escáner del Kaspersky Antivirus.
Si tiene problemas con la desinfección del virus y le es imposible desinfectar o borrar algún archivo infectado, adjuntenos el fichero del informe generado por el escaner del antivirus a soporte@codine.es.
Más de 10 años como Distribuidor Oficial de Kaspersky Lab
