I-worm.aliz
Se trata de un virus de tipo gusano que se está propagando vía Internet mediante correos electrónicos.
El gusano se trata de un archivo Windows PE EXE de alrededor de 4Kb escrito en ensamblador. El código principal está empaquetado con el algoritmo de compresión aPLib, por lo que el gusano original tiene alrededor de 6Kb.
El mensaje infectado lleva:
Asunto: diferentes (mirar más abajo)
Cuerpo del mensaje: mensaje HTML vacío
Adjunto: whatever.exe
El asunto se construye aleatoriamente con las siguientes variantes (str1 + str2 + ... + str5):
str1
Fw:
Fw: Re:
más:
str2 str3 str4 str5
str2 str3 str4 str5
Cool website to check !!
Nice site for you !
Hot pics i found :-)
some urls to see ?!
Funny pictures here hehe ;-)
weird stuff - check it
funky mp3s
great shit
Interesting music
many info
Por ejemplo,
Cool mp3s to see !
Fw: Re: Cool stuff here !
Para ejecutarse desde el mensaje infectado, el gusano utiliza un agujero de seguridad (vulnerabilidad IFRAME, similar a la utilizada por el gusano "Nimda"), por lo que el virus es activado al previsualizar o leer el mensaje infectado.
Cuando ha sido ejecutado un archivo infectado, la rutina de desempaquetado toma el control y pone en memoria el código principal del gusano. En ese momento el código principal envía mensajes infectados a todas las direcciones de correo electrónico incluidas en la libreta de direcciones de Windows.. Para enviar estos correos electrónicos el gusano se conecta al servidor SMTP por defecto.
El gusano no se instala en el sistema y se vuelve a ejecutar (excepto en los casos en los que el usuario vuelve a hacer clic en el adjunto del correo electrónico infectado).
El virus no dispone de ninguna carga útil y no se manifiesta de ninguna manera. La rutina de envío de mensajes tiene algunos errores, por lo que el virus no es capaz de propagarse dependiendo de las configuraciones del cliente o servidor de correo.
El gusano contiene el siguiente código:
:::iworm.alizee.by.mar00n!ikx2oo1:::
while typing this text i realize this text got added on many av
description sites, because this silly worm could be easily a
hype. i wonder which av claims '[companyname] stopped high risk
worm before it could escape!' or shit like that. heh, or they
boycot my virus because of this text. well, it is easy enough
for the poor av's to add this worm; since it was only released
as source in coderz#2... btw, loveletter*2 power in pure win32asm
and only a 4k exe file. heh, vbs kiddies, phear win32asm. :)
thx to: bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx,
t-2000!ir, ultras!mtx & sweet gigabyte...
btw,burgemeester van sneek: ik zoek nog een baantje...
(alignmentfillingtext)
Para eliminar el correo electrónico con virus:
1.Si MS Outlook Express o Internet Explorer están ejecutandose, cierrelos.
2.Si no lo ha hecho todavia, descargue el parche de microsoft desde:
www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Instale el parche.
3.Deshabilite el monitor para tener acceso al correo electrónico infectado y eleiminelo. Si utiliza Outlook Express, vacie la carpeta de elementos eliminados y compacte las carpetas con la opción Archivo>Carpetas>Compactar todas las carpetas.
4.Vuelva a habilitar el AVP Monitor.
Se recomienda a los usuarios tengan actualizado el antivirus y en caso de estar infectados, se pongan en contacto con nosotros en: soporte@codine.es
Más de 10 años como Distribuidor Oficial de Kaspersky Lab
