GUSANO

IWORM_MUSIC

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: Iworm_Music, I-Worm.Music 

Music es un gusano de Internet escrito en Visual Basic que se extiende como un archivo adjunto en los mensajes del correo. Los nombres de estos archivos pueden ser Music.com, Music.exe Music.zip.

Al activarse, el gusano muestra un dibujo relacionado con la Navidad y toca una melodía para camuflarse.

Los mensajes enviados por el gusano Music tienen los siguientes asuntos y los textos: 

Asunto: Testing to send file
Texto: Hi, just testing email using Merry Christmas music file, not bad music.
o: 
Texto: Hi, just testing email using Merry Christmas music file, you'll like it.

El gusano tiene tres componentes: Dropper, Remitente y la librería WinSock.

1. El primer componente del gusano (Dropper) se envía adjunto a los correos. Cuando se ejecuta, se copia en el directorio System de Windows con el nombre SYSMCM. EXE y registra este archivo en la clave de registro auto-run. En este momento interpreta una melodía y muestra un dibujo para poder camuflarse.

El componente gusano no envía ningún mensaje. Para propagarse el gusano se conecta a dos sitios de Inet y consigue el resto de sus componentes de allí, copiándolos en el directorio Windows con los nombres SYSDRV. EXE y SYSTMP. DLL 

2. El segundo componente del gusano (Remitente), es descargado desde una web de Internet y copiado al directorio System de Windows. Entonces consigue las direcciones de correo de la Agenda de Windows y envía los mensajes infectados, adjuntando el componente Dropper a estas direcciones. 

3. La librería WinSock es una DLL estándar de MS Visual Studio que se usa para acceder a los sockets de Windows. 

El gusano puede actualizar sus componentes desde una web de Internet: descarga tres archivos de allí (se supone que son sus plugins), detecta sus versiones y si estas versiones son más nuevas que las que está utilizando en ese momento, el gusano reemplaza sus componentes con las nuevas, de modo que el gusano puede cambiar su funcionalidad dependiendo de las necesidades de su autor. 

El gusano crea nuevas claves en el registro para poder ejecutarse en cada arranque de Windows: 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run SysDrv = %SystemDir%\sysmcm.exe

También crea una clave más dónde guarda sus datos internos: 

HKLM\Software\Microsoft\MCM
FirstRun
LastRun
RunMCM
Status
SMTP
Version = 001111

El código del componente Remitente contiene el texto: 

Hi, tracing this file? It's a very friendly program, it do nothing harm to
your system. In fact I hate a file like this, but the bad thing is I cant
find a job, and I need to rent my basement room, I only hope this file
could help me to make my both ends meet. Thanks & regards.
-- The author, Nov 08, 2000. 


Copyright © VIRUSPROT.COM