Las compañías desarrolladoras de soluciones anti-virus alertaban sobre la aparición a finales de octubre de 2001 en algunos países europeos, de un nuevo gusano de Internet que se propaga por e-mail en un adjunto con formato PE (Portable Executable) y es capaz de afectar a todas las versiones de la plataforma Windows. No obstante, conviene advertir que probablemente su grado de infección no sea elevado puesto que los primeros análisis reflejan un error de programación en su código.

El mensaje que contiene el adjunto infectado presenta las siguientes características:

Asunto: ANTS Version 3.0
Cuerpo del mensaje (en alemán e inglés):

Hi,
Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen
kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei
ausführen.
Attached you will find the brand new Version 3.0 of ANTS, the unique
freeware trojan scanner. To install ANTS simply run the attached setup file.
Adieu, Andreas

webmaster@avnetwork.de
http://www.ants-online.de
Adjunto: ANTS3SET.EXE

Si el usuario ejecuta el archivo adjunto el virus comienza comienza su rutina de infección. Primero se instala en el directorio del sistema Windows, con un nombre elegido al azar, por poner un ejemplo, algunos nombres que se han encontrado en los análisis del gusano han sido ZFCY.EXE, BM.EXE, GG.EXE o HLUTL.EXE. Luego modifica el registro para ejecutarse siempre que se inicie el sistema. También se copia en el directorio raíz como ANTS3SET.EXE.

Después comienza su rutina de propagación, para ello se hace con direcciones al azar que encuentra en la libreta de Microsoft Outlook, en los archivos del disco duro con alguna de estas extensiones: .PHP, .HTM, .SHTM, .CGI y .PL, y en el caché de Internet y el historial de Internet Explorer. Pero esto no es todo, para propagarse también usa los siguientes servidores anónimos de correo que emplean SMTP (Simple Mail Transfer Protocol):

200.52.69.2
200.52.69.9
193.92.94.226
12.34.208.35
195.229.189.2
toad.com
196.40.0.82
196.40.0.90

No obstante, según los estudios realizados se sabe que un error de programación de este gusano ocasiona que el envío masivo falle. Dentro de su código se puede leer lo siguiente:

CompanyName: e-brainstorm
FileDescription: ANTS - A New Trojan Scanner
LegalCopyright: Andreas Haak

Aclarar que Andreas Haak, según ha informado la empresa de seguridad Per Systems es una persona real de Alemania, que desarrolla herramientas contra virus y troyanos. Según ha declarado el propio Haak, alguien ha usado su nombre y el de su programa (una conocida creación suya llamada ANTS) para crear un gusano.

Las variantes de este virus presentan la única diferencia de Anset original es el peso del adjunto que transporta el mensaje de correo y alguna modificación en el texto del mensaje. No obstante, aunque ya hemos informado del escaso poder de propagación por errores en su código, conviene estar alerta porque el creador del virus puede modificar el gusano lo que puede hacer que sí se propague masivamente.