W32/Mirsa.A. Virus que se propaga por e-mailNombre: W32/Mirsa.A
Tipo: Gusano de Internet
Alias: Mirsa, Win32/Mirsa.A, W32/Mirsa@MM, New Malware.d
Fecha: 31/dic/04
Plataforma: Windows 32-bit
Tamaño: 18,944 bytes
Gusano escrito en Microsoft Visual Basic, que intenta propagarse por correo electrónico.
Cuando se ejecuta, se copia a si mismo en las siguientes ubicaciones y con los siguientes nombres:
c:\c.v.doc.exe
c:\curriculum.vitae.doc.exe
c:\cv.doc.exe
c:\cvitae.doc.exe
c:\mrsa.exe
c:\profile.doc.exe
c:\program files\accessories\mspaint2.exe
c:\program files\accessories\wordpad2.exe
c:\program files\microsoft office\office\winword2.exe
c:\system.exe
c:\windows\mrsa.exe
c:\windows\notepad2.exe
Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Keyboard = "C:\MRSA.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
System = "C:\MRSA.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Explorer = "C:\MRSA.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Notepad = "C:\MRSA.exe"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
OPEN = "C:\MRSA.exe"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
RUN = "C:\MRSA.exe"
Intenta propagarse a todos los contactos de la libreta de direcciones de Windows, en un mensaje con las siguientes características:
Texto del mensaje: Please look at the enclosed CV.
Its really important that you read this.
Thanks.
Datos adjuntos: Personal.DOC.exe
El gusano utiliza doble extensión para intentar ocultar la verdadera. Por defecto Windows no muestra la extensión de los ejecutables (opción "Ocultar las extensiones de archivo para tipos de archivo conocidos" del menú Ver de Opciones de carpetas). Más información en "Información adicional", "Mostrar las extensiones verdaderas de los archivos".
Más información
http://www.vsantivirus.com/mirsa-a.htm