CIUDAD DE MÉXICO, México, agosto, 2002.- McAfee, línea de productos de Network Associates, empresa mundial de soluciones de antivirus, esta alertando al mercado sobre la aparición del virus denominado W32/Vig.worm.
De origen desconocido, el W32/Vig.worm es un gusano que se intenta copiar hacia los discos flexibles que estén insertados en la maquina, las unidades de disco locales y las unidades de red mapeadas. El Vig esta escrito en lenguaje Visual Basic 6 y esta compactado como UPX.
Cuando es ejecutado en la maquina de la victima, el gusano verifica por cinco archivos dentro de la unidad A:, las unidades locales, y las unidades de red, conforme al siguiente listado:
1. PAMELA.EXE
2. TETRIS.EXE
3. JUEGO.EXE
4. INFORME.EXE
5. AZNARIN.EXE
En caso de encontrar alguno de los archivos listados anteriormente, el gusano se copia para la unidad de discos actual utilizando uno de los nombres de dichos archivos.
Además de lo anterior, el gusano también se copia hacia el subdirectorio de Windows con el nombre de DLLRUN32.EXE, y agrega una llave de registro para ser cargado automáticamente al momento de la inicializacion del sistema.
Esta llave puede ser identificada como:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"SystemCheck" = %SYSDIR%\DLL32RUN.EXE
Finalmente, el Vig modifica una llave de registro, y borra el archivo REGEDIT.EXE de la maquina victima. La llave de registro modificada es la siguiente:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion "RegisteredOwner" = Viguito Bufon
McAfee Security considera al virus W32/Vig.worm como Riesgo Bajo debido al numero de reportes recibidos por McAfee a nivel mundial. McAfee Security recomienda que los productos de antivirus sean actualizados semanalmente, además de estar configurados para la protección de archivos comprimidos (Compressed Files).
