WIN32/OLATSKY.A nombre: Win32/Olatsky.A
aliases: WORM_OLATSKY.A
tipo: Gusano de Internet
tamaño: 32,768 Bytes
INFORMACION
Gusano residente en memoria, se propaga utilizando el Outlook. Envía una copia de si mismo a todos los contactos de la libreta de direcciones.
CARACTERISTICAS
El gusano crea el siguiente archivo dentro de la carpeta de inicio en la versión alemana de Windows:
C:\Windows\All Users\Startmenn
\Programme\Autostart
systrayw.exe
Se propaga utilizando las funciones MAPI (Messaging Application Programming Interface) del Outlook. Envía una copia de si mismo a todas las direcciones obtenidas de la libreta de direcciones.
Los mensajes tienen las siguientes características:
Mensaje 1:
Asunto: Muahahahaha see that stupid teacher!
Texto del mensaje: Download and open the movie and ROTFL n...
Datos adjuntos: teachermovie.exe
Mensaje 2:
Asunto: Microsoft Security Patch
Texto del mensaje: This patch protect your Windows for the...
Datos adjuntos: antisassernetsky.exe
Mensaje 3:
Asunto: Mail Delivery Status
Texto del mensaje: Your Email Account is corrupt please in...
Datos adjuntos: mailaccountpatch.exe
Mensaje 4:
Asunto: E-mail Address not found!
Texto del mensaje: The e-mail address wasnt" found, please...
Datos adjuntos: readme.exe
Mensaje 5:
Asunto: E-mail Address not found!
Texto del mensaje: The e-mail address wasnt"
Datos adjuntos: readme.exe
Mensaje 6:
Asunto: Sasser virus bugfix from McAfee
Texto del mensaje: Please scan your computer, the MyDoom w...
Datos adjuntos: Sasser.exe
Mensaje 7:
Asunto: Die E-Mail konnte nicht versendet werde...
Texto del mensaje: Die von ihnen angegebene Adresse wurde ...
Datos adjuntos: liesmich.exe
Mensaje 8:
Asunto: Russische Spionage Satelliten haben sie...
Texto del mensaje: Glauben sie nicht? Schauen sie selbst d...
Datos adjuntos: satellitenfoto.exe
Mensaje 9:
Asunto: Wichtige Informationen f
Texto del mensaje: Hi ich habe hier noch die ArbeitsplSne ...
Datos adjuntos: arbeit.exe
Mensaje 10:
Asunto: Die E-Mail konnte nicht versendet werde...
Texto del mensaje: Die von ihnen angegebene Adresse wurde ...
Datos adjuntos: liesmich.exe
El gusano puede realizar capturas de teclado, los datos obtenidos son guardados en el siguiente archivo, este se encuentra dentro de la carpeta C:\WINDOWS
DEFRAGCOM.DLL
De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Esta compilado utilizando Visual Basic para ejecutarse necesita los archivos MSVBVM60.DLL y MSMAPI32.OCX
Para engañar al usuario y que este abra el archivo adjunto utiliza el icono como el que asigna Word a los documentos.
Más información:
http://www.enciclopediavirus.com/virus/vervirus.php?id=1036
