GUSANO
Matcher
Alias: I-Worm_Matcher, I-Worm.Matcher, W32/Matcher
Descubierto el 18 de Abril de 2001 se trata de un gusano de Internet escrito en Visual Basic 6.0, y parece estar basado en el virus de macro Melissa, las funciones y secuencias de instrucciones del código del gusano son muy similares a las del Melissa. Se encuadra en la última generación de virus que utilizan un reclamo social para propagarse.
El archivo que constituye el gusano es un ejecutable PE de aproximadamente 29 kb de longitud. Para activarse necesita que la libreria MSVBVM60.DLL está presente en el sistema.
Para activarse el gusano copia en el directorio de sistema de Windows: |folden con el nombre de MATCHER.EXE y registra este archivo en la sección auto-run de Windows:
KEY LOCAL_MACHINE
%SystemDir%matcher.exe, donde %SystemDir% es el nombre del directorio de
sistema de Windows.
El gusano se conecta a Outlook, lee las direcciones de correo electrónico y se autoenvía como un archivo adjunto con el nombre de: MATCHER.EXE, a todas las direcciones de la agenda. En algunos casos repite el envío del archivo cada minuto. Como resultado, los servidores de correo se sobrecargan y pueden llegar a colapsarse con los mensajes del gusano.
El cuerpo del mensaje infectado enviado por el gusano es el siguiente:
Asunto : Matcher
Texto : Want to find your love mates!!! Try this its cool... Looks and Attitude Maching to opposite sex
Adjunto : matcher.exe
Después añade algunos comandos al final de C:.BAT y muestra el mensaje:
“from: Bugger”
@echo off
echofrom: Bugger
pause
El gusano no se oculta y no borra sus copias de la carpeta “Sent”.
