Archivado en Internet

Nuevo virus inform√°tico que se "rie" de los internautas.

¬°¬° AMUS !!


Así, el usuario escucha en un inglés claro lo siguiente: "How are you. I am back. My name is Mr. Hamsi. I am seeing you. Haaaaaaaa. You must come to Turkey. I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule gule."

C√≥mo est√°s. He vuelto. Mi nombres es se√Īor Hamsi. Te estoy viendo. Haaaaaa. Debes venir a Turquia. Estoy limpiando tu ordenador. 5.4.3.2.1.0 Gule gule."), "Gule gule" significa "adi√≥s" en turco.



pdf
print
pmail
· De un vistazo:

Nombre com√ļn: Amus.A

Nombre técnico: W32/Amus.A.worm

Peligrosidad: Baja

Tipo: Gusano

Efectos: Borra DLLs y archivos INI. Se propaga a través del correo electrónico.

Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95

Fecha de aparición: 05/08/2004



· Descripción Breve

Amus.A es un gusano que en determinadas fechas borra las DLLs (Librería de Enlace Dinámico) y archivos con extensión INI, además de cambiar la página de inicio del navegador por el siguiente texto:

Konneting du pepil and dizkoneting you. Anlami: Baglansan ne olacak, baglanmasan ne olacak. Zaten hatlar burada rezalet.

Traducción: Conectando a "pepil" y desconectándote a ti. No importa conectar o no conectar. La conexión es terrible aquí.

Amus.A se propaga a través del correo electrónico, en un mensaje escrito en inglés con el asunto Listen and Smile y el archivo adjunto MASUM.EXE.

Si el sistema operativo del ordenador afectado es Windows XP, Amus.A intenta utilizar su Speech Engine (Motor de voz) para emitir el siguiente mensaje:

How are you. I am back. My name is mister hamsi. I am seeing you. Haaaaaaaa. You must come to turkiye. I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule. Gule.

Nota: hamsi es un pescado parecido a la anchoa, mientras que gule significa adiós.


· Síntomas Visibles

Amus.A es fácil de reconocer antes de que afecte el ordenador, ya que llega en un mensaje de correo escrito en inglés, con las siguientes características:

Asunto:
Listen and Smile.
Contenido:
Hey. I beg your pardon. You must listen.
Archivo adjunto:
MASUM.EXE


Una vez es ejecutado, Amus.A crea un peque√Īo cuadrado blanco en el √°ngulo superior izquierdo del Escritorio de Windows.

Adem√°s, intenta utilizar el Speech Engine de ordenadores con Windows XP para emitir un mensaje de voz.


· Efectos

Amus.A tiene los siguientes efectos:

Los días 2, 15 y 17 de cada mes borra las DLLs (Librería de Enlace Dinámico) del directorio de Windows.
Los días 10 y 23 de cada mes borra los archivos con extensión INI del directorio de Windows.
Los días 1, 6, 20 y 25 de cada mes cambia la página de inicio del navegador por el siguiente texto:

Konneting du pepil and dizkoneting you. Anlami: Baglansan ne olacak, baglanmasan ne olacak. Zaten hatlar burada rezalet.

Traducción: Conectando a "pepil" y desconectándote a ti. No importa conectar o no conectar. La conexión es terrible aquí.
En ocasiones, crea un peque√Īo cuadrado blanco en el √°ngulo superior izquierdo del Escritorio de Windows.
Si el sistema operativo del ordenador afectado es Windows XP, Amus.A intenta utilizar su Speech Engine (Motor de voz) para emitir el siguiente mensaje:

How are you. I am back. My name is mister hamsi. I am seeing you. Haaaaaaaa. You must come to turkiye. I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule. Gule.

Nota: hamsi es un pescado parecido a la anchoa, mientras que gule significa adiós.


· Metodo de Infección


Amus.A crea los siguientes archivos, que son una copia del gusano:

MASUM.EXE en el directorio raíz del disco duro.
ADAPAZARI.EXE, ANKARA.EXE, ANTI_VIRUS.EXE, CEKIRGE.EXE, KDZEREGLI.EXE, MASUM.EXE, MESSENGER.EXE, MEYDANBASI.EXE, MY_PICTURES.EXE, PIDE.EXE y PIRE.EXE, en el directorio de Windows.

Amus.A borra los siguientes archivos:

Los días 2, 15 y 17 de cada mes borra las DLLs (Librería de Enlace Dinámico) del directorio de Windows (pero no de sus subcarpetas).
Los días 10 y 23 de cada mes borra los archivos INI, del directorio de Windows (pero no de sus subcarpetas).
Amus.A crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
Microzoft_Ofiz = %windir% masum.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, Amus.A consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER Software Microsoft Windows Masum
Who = OnEmLi_DeGiL


· Método de Propagación


Amus.A se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

Llega al ordenador en un mensaje de correo electrónico escrito en inglés, con las siguientes características:

Asunto:
Listen and Smile

Contenido:
Hey. I beg your pardon. You must listen.

Archivo adjunto:
MASUM.EXE
El ordenador queda afectado cuando el usuario ejecuta el archivo adjunto.
Amus.A envía una copia de sí mismo a todos los contactos almacenados en la Libreta de direcciones de Outlook, utilizando su propio motor SMTP.


Otros Detalles

Amus.A est√° escrito en el lenguaje de programaci√≥n Visual Basic v6.0. Este gusano tiene un tama√Īo de 51.782 Bytes y est√° comprimido mediante Yoda's Crypter v1.2.

Amus.A crea un mutex para asegurarse de que no haya m√°s de una copia del gusano ejecut√°ndose al mismo tiempo.


¬∑ ¬ŅC√≥mo saber si tengo Amus.A?

En primer lugar, compruebe si ha recibido un mensaje de correo electrónico con las características descritas en el apartado Método de propagación.

Para verificar con exactitud si Amus.A ha afectado su ordenador, dispone de las siguientes opciones:

Realizar un análisis completo del ordenador con su antivirus, después de verificar que está actualizado.
Chequear el ordenador con alguna herramienta gratuita de an√°lisis online, que detectar√° r√°pidamente todos los posibles virus.


¬∑ ¬ŅC√≥mo eliminar a Amus.A?

Ante todo, si ha recibido un mensaje con algunas de las características descritas en el apartado Método de propagación, no ejecute el archivo adjunto y borre el mensaje, incluso de la carpeta de Elementos Eliminados.

Después, si durante el proceso de análisis, su antivirus o antivirus online detecta a Amus.A, el antivirus le dará automáticamente la opción de eliminarlo: hágalo, siguiendo las instrucciones del programa.

Finalmente, para restaurar la configuración original de su ordenador, siga estas instrucciones:

Borre las entradas que Amus.A ha creado en el Registro de Windows:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
Microzoft_Ofiz = %windir% masum.exe
donde %windir% es el directorio de Windows.

HKEY_CURRENT_USER Software Microsoft Windows Masum
Who = OnEmLi_DeGiL
Restaure los archivos que haya podido borrar Amus.A utilizando la √ļltima copia de seguridad disponible.
Reinicie el ordenador.
Finalmente, para eliminar cualquier rastro de Amus.A, vuelva a realizar un an√°lisis completo de su ordenador.

¬∑ ¬ŅC√≥mo protegerse de Amus.A?

Para mantenerse protegido, tenga en cuenta los siguientes consejos:

Si dispone de herramientas de filtrado, config√ļrelas para que rechacen los mensajes que cumplan las caracter√≠sticas mencionadas en el apartado M√©todo de propagaci√≥n. Si a pesar de esto, recibe un mensaje con el virus: no lo abra, no ejecute su archivo adjunto y b√≥rrelo de la carpeta de Elementos eliminados.
Instale un buen antivirus en su ordenador.
Mantenga su antivirus actualizado. Si admite actualizaciones autom√°ticas, config√ļrelas para que funcionen siempre as√≠.
Tenga activada la protección permanente de su antivirus en todo momento.