GUSANO

Maldal.I 

Índice
En diciembre de 2001 teníamos las primeras noticias de este ingenio informático maligno: Maldal, Zacker o Reezak, que en aquella ocasión utilizaba una felicitación navideña como cebo psicológico para el incauto internauta que caía en la tentación de abrir el adjunto al mensaje electrónico del que se disfrazaba Maldal.

Su nueva variante Maldad.I, aparecido en febrero de 2002, continúa siendo un desarrollo en Visual Basic de difusión masiva a través de la libreta de direcciones de Outlook, llegando a sus víctima en forma de e-mail con un archivo adjunto de extensión .pif.

El archivo ejecutable adjunto al mensaje de correo electrónico está empaquetado con Aspack versión 2.12 para minimizar el tamaño del virus (su tamaño original es de 90 Kb). El asunto del e-mail que trae a Maldal.I es aleatorio a elegir entre un extenso listado de más de 40 mensajes. Algunos de los asuntos contienen palabras como amor, sexo (“The nigth of Sex”), o incluso un gancho psicológico completamente diferente: “Too late... Bin Laden has been Killed”.

Es necesario extremar las precauciones ante tal variedad de mensajes que pretenden burlar la precaución del usuario. Si no resistimos la tentación y abrimos el adjunto, el virus se copia a sí mismo en la carpeta Windows: el principal síntoma de infección puede detectarse en la presencia de los archivos zacker.pif o hide.pif en esta carpeta. A continuación añade la siguiente clave en el registro: HKEY_LOCAL_MACHINE

“NAV DefAlert”=“C:.pif”
“Norton Auro-Protect”=“”

Tiene la capacidad de autoreplicarse en todas las carpetas del disco duro, con el mismo nombre que la carpeta pero con extensión .pif. Los archivos se añaden a la clave anterior en el registro, de modo que saturan y desestabilizan el sistema. En el siguiente reinicio los equipos pueden no funcionar debido a la gran cantidad de aplicaciones abiertas.

Finalmente, Maldal.I inicia la búsqueda de archivos con extensión .htm y .html en la libreta de direcciones MS Outlook, para autoenviarse masivamente a todas las direcciones contenidas en éstos.

La autoría de este cibercrimen se la achaca un jovencito (¿jovencito “Frankestein”?) de 15 años, Michael Schmidt, aunque más bien parece fruto de un grupo de hackers al que también deberíamos la creación de Goner, entre otros. Se trataría de DaylyRush de Dinamarca, país donde aún no está clara ninguna legislación que persiga a los creadores de virus.


Copyright © VIRUSPROT.COM