VIRUS

El 28 de noviembre de 2001 aparecía Eira, un gusano que se hace pasar por una demo del conocido juego de PC, Quake4. El archivo adjunto de extensión .EXE y 56 kb de tamaño esconde un troyano capaz de sobrescribir archivos de los equipos que infecta siempre que tengan instalados los sistemas operativos Microsoft Windows 95/98/NT/2000/Me o servidores NT/2000. Además, se reenvía masivamente a través del correo electrónico a todas las direcciones incluidas en la libreta de direcciones de la víctima.

El e-mail que contiene el gusano tiene las siguientes características:

Remitente: utiliza la dirección de correo de la persona anteriormente infectada.

Asunto, elegido de forma aleatoria de entre los siguientes:

Something very special
I know you will like this
Yes, something I can share with you
Wait till you see this!
A brand new game! I hope you enjoy it

Texto del mensaje, seleccionado al azar de entre éstos:

Is Internet that safe?
Check it out
Hey you, take a look at the attached file. You won't believe your eyes when you open it!
You like games like Quake? You will enjoy this one.
Did you see the pictures of me and my battery operated boyfriend?
My best friend
This is something you have to see!
Till next time

Adjunto, alguno de los siguientes:

Quake4demo.exe
Honey.exe
Setup.exe

Cuando el usuario ejecuta el archivo adjunto se muestra una caja de texto en la que aparece el logotipo del juego y el siguiente mensaje:

Rocket Arena 3
Welcome to Rocket Arena 3
This program will install Rocket Arena 3 into your Quake4 directory
It will also install the full version of Quake4
Once instaled, you can play Rocket Arena 3 by launching it
with the icon on the Start Menu.
"Next " "Cancel"

Pese a que pueda parecer raro, si el internauta decide instalar la supuesta demo y elige "Next" no ocurre nada, el problema se presenta cuando pincha "Cancel", entonces se ejecuta Eira. La primera acción que desarrolla es copiarse en la carpeta C:\Windows con los siguientes nombres:

C:\Windows\Quake4demo.exe, C:\Windows\Honey.exe y C:\Windows\Setup.exe.

Luego crea su propia carpeta bajo el nombre C:\Eira donde se copia como Quake4demo.exe y en el caso de que exista el disco F, también se copia con ese mismo nombre. Con el fin de ejecutarse cada vez que se reinicie Windows, modifica la clave de registro HKLM\Software\Microsoft\Windows\Current\Version\Run.

Su rutina final es destructiva puesto que tiene como misión reemplazar todos los archivos con extensión .EXE que se encuentren en la misma carpeta que él por el siguiente mensaje de 199 bytes de tamaño:

You've didn't protected your files well enough
Let this be a lesson! Never trust someone else
eiram 1999-2001

La compañía F-Secure Corporation alerta sobre la posibilidad de que el gusano sobrescriba también documentos con estas extensiones: .OCX, .EXE, .XLS, .DOC, .MDB, .HTM, .HTML y .TXT.

También hay que señalar que los archivos dañados por Eira no se pueden recuperar siendo necesario reemplazarlos por originales limpios.