GUSANO

W32/Newapt.Worm

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: I-Worm.NewApt, W32.NewApt.Worm, Worm.NewApt

Este virus apareció por primera vez a mediados de diciembre de 1999. El virus es en sí mismo un archivo ejecutable PE de Windows de 70Kb de longitud. Se transmite vía Internet como archivo adjunto a un email. El nombre del archivo adjunto se selecciona aleatoriamente entre los siguientes:

panther.exe 
gadget.exe 
irngiant.exe 
casper.exe 
fborfw.exe 
cupid2.exe 
party.exe 
bboy.exe 
baby.exe
goal.exe
theobbq.exe
panthr.exe
chastburst.exe
farter.exe 
boss.exe 
monica.exe 
saddam.exe 
party.exe 
hog.exe 
gial1.exe 
pirate.exe 
video.exe 
copier.exe 
cooler1.exe 
cooler3.exe 
g-zilla.exe

La referencia del mensaje es "Just for your eyes", aunque también hay varias variantes. En algunas ocasiones, simplemente aparece "Re:".

El texto del mensaje en formato texto simple es:

"he, your lame client cant read HTML, haha. Click attachment to see some stunningly HOT stuff".

El texto del mensaje en formato HTML es:

"Hypercool Happy New Year 2000 funny programs and animations...We attached our recent animation from this site in our mail! Check it out!"

Cuando se recibe un mensaje infectado, aparece uno de los dos textos anteriores, dependiendo de si el navegador del receptor soporta el formato HTML o no. Cuando se ejecuta el archivo adjunto, el virus toma el control y se instala a sí mismo en le sistema, copiándose en el directorio de Windows y modificando el registro de sistema en al sección "Run=":

SOFTWARE\Microsoft\Windows\CurrentVErsion\Run
'tpawen'='C:\WINDOWS\PANTHER.EXE /x'

El nombre Panther es elegido al azar entre los señalados anteriormente.

Para ocultar su actividad, el virus muestra un mensaje de error:

"The dinamic link library giface.dll could not be found in specified path
C:\; C:\WINDOWS; C.\WINDOWS\COMMAND; C:\FAR; C:\AVP"

La segunda línea del mensaje anterior se compone del nombre del directorio Windows infectado, variables 'Path' y 'SystemRoot'.

A partir de entonces, el virus se registra como un proceso de servicio y permanece residente en memoria como una aplicación oculta. Las principales actividades del virus son escanear periódicamente los discos duros para localizar archivos relacionados con Internet (MS Mail, Outlook Express, Netscape Navigator y otros), abrirlos, tomar las direcciones de Internet y enviar copias infectadas a dichas direcciones.

El 21 de junio de 2000 el virus borrará la cadena "Run=" del registro del sistema y ya no se instalará de nuevo.

Desde las 00:00 horas del 26 de diciembre, el virus trata de conectarse cada tres segundos a Microsoft. Dependiendo de distintos parámetros, el virus trata de llamar a números de teléfono aleatorios seleccionados en una lista interna. Parece que estos números pertenecen a algunas empresas.


Copyright © VIRUSPROT.COM