Arxivat a Digital

¡¡ AMUS !!

Nuevo virus informático que se "rie" de los internautas.

Así, el usuario escucha en un inglés claro lo siguiente: "How are you. I am back. My name is Mr. Hamsi. I am seeing you. Haaaaaaaa. You must come to Turkey. I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule gule."

Cómo estás. He vuelto. Mi nombres es señor Hamsi. Te estoy viendo. Haaaaaa. Debes venir a Turquia. Estoy limpiando tu ordenador. 5.4.3.2.1.0 Gule gule."), "Gule gule" significa "adiós" en turco.


Este artículo se publicó originalmente en Caja Madrid (Sección Sindical Caja Madrid ) ,


pdf print pmail

· De un vistazo:

Nombre común: Amus.A

Nombre técnico: W32/Amus.A.worm

Peligrosidad: Baja

Tipo: Gusano

Efectos: Borra DLLs y archivos INI. Se propaga a través del correo electrónico.

Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95

Fecha de aparición: 05/08/2004



· Descripción Breve

Amus.A es un gusano que en determinadas fechas borra las DLLs (Librería de Enlace Dinámico) y archivos con extensión INI, además de cambiar la página de inicio del navegador por el siguiente texto:

Konneting du pepil and dizkoneting you. Anlami: Baglansan ne olacak, baglanmasan ne olacak. Zaten hatlar burada rezalet.

Traducción: Conectando a "pepil" y desconectándote a ti. No importa conectar o no conectar. La conexión es terrible aquí.

Amus.A se propaga a través del correo electrónico, en un mensaje escrito en inglés con el asunto Listen and Smile y el archivo adjunto MASUM.EXE.

Si el sistema operativo del ordenador afectado es Windows XP, Amus.A intenta utilizar su Speech Engine (Motor de voz) para emitir el siguiente mensaje:

How are you. I am back. My name is mister hamsi. I am seeing you. Haaaaaaaa. You must come to turkiye. I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule. Gule.

Nota: hamsi es un pescado parecido a la anchoa, mientras que gule significa adiós.


· Síntomas Visibles

Amus.A es fácil de reconocer antes de que afecte el ordenador, ya que llega en un mensaje de correo escrito en inglés, con las siguientes características:

Asunto:
Listen and Smile.
Contenido:
Hey. I beg your pardon. You must listen.
Archivo adjunto:
MASUM.EXE


Una vez es ejecutado, Amus.A crea un pequeño cuadrado blanco en el ángulo superior izquierdo del Escritorio de Windows.

Además, intenta utilizar el Speech Engine de ordenadores con Windows XP para emitir un mensaje de voz.


· Efectos

Amus.A tiene los siguientes efectos:

Los días 2, 15 y 17 de cada mes borra las DLLs (Librería de Enlace Dinámico) del directorio de Windows.
Los días 10 y 23 de cada mes borra los archivos con extensión INI del directorio de Windows.
Los días 1, 6, 20 y 25 de cada mes cambia la página de inicio del navegador por el siguiente texto:

Konneting du pepil and dizkoneting you. Anlami: Baglansan ne olacak, baglanmasan ne olacak. Zaten hatlar burada rezalet.

Traducción: Conectando a "pepil" y desconectándote a ti. No importa conectar o no conectar. La conexión es terrible aquí.
En ocasiones, crea un pequeño cuadrado blanco en el ángulo superior izquierdo del Escritorio de Windows.
Si el sistema operativo del ordenador afectado es Windows XP, Amus.A intenta utilizar su Speech Engine (Motor de voz) para emitir el siguiente mensaje:

How are you. I am back. My name is mister hamsi. I am seeing you. Haaaaaaaa. You must come to turkiye. I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule. Gule.

Nota: hamsi es un pescado parecido a la anchoa, mientras que gule significa adiós.


· Metodo de Infección


Amus.A crea los siguientes archivos, que son una copia del gusano:

MASUM.EXE en el directorio raíz del disco duro.
ADAPAZARI.EXE, ANKARA.EXE, ANTI_VIRUS.EXE, CEKIRGE.EXE, KDZEREGLI.EXE, MASUM.EXE, MESSENGER.EXE, MEYDANBASI.EXE, MY_PICTURES.EXE, PIDE.EXE y PIRE.EXE, en el directorio de Windows.

Amus.A borra los siguientes archivos:

Los días 2, 15 y 17 de cada mes borra las DLLs (Librería de Enlace Dinámico) del directorio de Windows (pero no de sus subcarpetas).
Los días 10 y 23 de cada mes borra los archivos INI, del directorio de Windows (pero no de sus subcarpetas).
Amus.A crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
Microzoft_Ofiz = %windir% masum.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, Amus.A consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER Software Microsoft Windows Masum
Who = OnEmLi_DeGiL


· Método de Propagación


Amus.A se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

Llega al ordenador en un mensaje de correo electrónico escrito en inglés, con las siguientes características:

Asunto:
Listen and Smile

Contenido:
Hey. I beg your pardon. You must listen.

Archivo adjunto:
MASUM.EXE
El ordenador queda afectado cuando el usuario ejecuta el archivo adjunto.
Amus.A envía una copia de sí mismo a todos los contactos almacenados en la Libreta de direcciones de Outlook, utilizando su propio motor SMTP.


Otros Detalles

Amus.A está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 51.782 Bytes y está comprimido mediante Yoda's Crypter v1.2.

Amus.A crea un mutex para asegurarse de que no haya más de una copia del gusano ejecutándose al mismo tiempo.


· ¿Cómo saber si tengo Amus.A?

En primer lugar, compruebe si ha recibido un mensaje de correo electrónico con las características descritas en el apartado Método de propagación.

Para verificar con exactitud si Amus.A ha afectado su ordenador, dispone de las siguientes opciones:

Realizar un análisis completo del ordenador con su antivirus, después de verificar que está actualizado.
Chequear el ordenador con alguna herramienta gratuita de análisis online, que detectará rápidamente todos los posibles virus.


· ¿Cómo eliminar a Amus.A?

Ante todo, si ha recibido un mensaje con algunas de las características descritas en el apartado Método de propagación, no ejecute el archivo adjunto y borre el mensaje, incluso de la carpeta de Elementos Eliminados.

Después, si durante el proceso de análisis, su antivirus o antivirus online detecta a Amus.A, el antivirus le dará automáticamente la opción de eliminarlo: hágalo, siguiendo las instrucciones del programa.

Finalmente, para restaurar la configuración original de su ordenador, siga estas instrucciones:

Borre las entradas que Amus.A ha creado en el Registro de Windows:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
Microzoft_Ofiz = %windir% masum.exe
donde %windir% es el directorio de Windows.

HKEY_CURRENT_USER Software Microsoft Windows Masum
Who = OnEmLi_DeGiL
Restaure los archivos que haya podido borrar Amus.A utilizando la última copia de seguridad disponible.
Reinicie el ordenador.
Finalmente, para eliminar cualquier rastro de Amus.A, vuelva a realizar un análisis completo de su ordenador.

· ¿Cómo protegerse de Amus.A?

Para mantenerse protegido, tenga en cuenta los siguientes consejos:

Si dispone de herramientas de filtrado, configúrelas para que rechacen los mensajes que cumplan las características mencionadas en el apartado Método de propagación. Si a pesar de esto, recibe un mensaje con el virus: no lo abra, no ejecute su archivo adjunto y bórrelo de la carpeta de Elementos eliminados.
Instale un buen antivirus en su ordenador.
Mantenga su antivirus actualizado. Si admite actualizaciones automáticas, configúrelas para que funcionen siempre así.
Tenga activada la protección permanente de su antivirus en todo momento.

Informa't

Sindicat, és Comissions Obreres en el sector del comerç, financer, administratiu, de les TIC, Hostaleria, Telemàrqueting, Oficines, Turisme ...Llegir més


Segeuix-nos en Telegram

On estem


OFICINAS CENTRALES
C/ Albasanz, 3 1º Planta
28037 Madrid
Tel: 91 540 92 82
Asesoría Madrid 91 536 51 63-64
Otras Comunidades
Fax: 91 559 71 96
Email: contacta@servicios.ccoo.es