Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Manymize.A. Adj.: mi2.exe, mi2.chm, mi2.htm, mi2.wmv
 
VSantivirus No. 747 - Año 6 - Jueves 25 de julio de 2002

W32/Manymize.A. Adj.: mi2.exe, mi2.chm, mi2.htm, mi2.wmv
http://www.vsantivirus.com/manymize-a.htm

Nombre: W32/Manymize.A
Tipo: Gusano de Internet
Alias: WORM_MANYMIZE.A, CHM_MANYMIZE.A, HTML_MANYMIZE.A, y ASF_MANYMIZE.A, Worm/Manymize.A, W32/Manyme.A-mm, I-Worm.Manymize, Win32.Manymize.A@mm
Fecha: 25/jul/02
Tamaño: 73,728 bytes
Plataformas: Windows 32-bits

Este gusano se propaga masivamente a través del correo electrónico con diferentes asuntos y textos, y usualmente contiene los siguientes adjuntos:

mi2.exe
mi2.chm
mi2.htm
mi2.wmv

Utiliza dos conocidos exploits, uno que ejecuta el gusano cuando se lee o se visualiza el mensaje en la vista previa, y otro que se basa en la visualización del archivo .WMF (Advanced Streaming Format, ASF).

Para propagar sus copias, el gusano utiliza sus propias rutinas SMTP para enviar los mensajes infectados. Los datos necesarios son tomados de la cuenta SMTP del usuario, en la siguiente clave del registro:

HKCU\Software\Microsoft\Internet Account Manager

Las direcciones de envío son tomadas de la libreta de direcciones de Windows (Windows Address Book, WAB). La ubicación del archivo es seleccionado de la siguiente clave:

HKCU\Software\Microsoft\WAB\WAB4\Wab File Name

El campo 'De:' del mensaje, es seleccionado de diferentes nombres de una lista guardada en su propio código, todas con el dominio '@patame.com.tw'.

El campo 'Asunto:' y el cuerpo del mensaje también son seleccionados al azar de una lista guardada en su código.

El 'Asunto:' comienza con una de las siguientes líneas:

How are you !! <nombre destinatario>
My friend,
<nombre destinatario>
Hello
<nombre destinatario>
Dear
<nombre destinatario>

El <nombre destinatario> corresponde a cada nombre y dirección obtenida de la libreta de direcciones de la máquina infectada.

Se complementa con una de las siguientes cadenas:

, Watch my
, Attached is my
, Open the
, This is
, See this

Sigue con una de las siguientes palabras:

special
amusing
cute
interesting
funny

Y termina con una de las siguientes:

tape.
clip.
penguin.
movie.
video.

Por ejemplo:

Hello <nombre destinatario>, Open the funny clip.

Los adjuntos son los siguientes:

mi2.exe
mi2.chm
mi2.htm
mi2.wmv

Cuando el usuario lee el mensaje o lo visualiza en el panel de vista previa, el primer archivo (MI2.EXE, 73,728 bytes) se ejecuta, haciendo uso de la misma vulnerabilidad de la que se aprovechan otros conocidos virus. Para evitarlo es necesario actualizar el Internet Explorer con los parches respectivos.

El segundo exploit (Advanced Streaming Format (ASF) exploit), ocurre al visualizarse con el Windows Media Player el archivo .WMV (19461 bytes).

La vulnerabilidad se basa en el hecho que Windows Media Player posee la capacidad de abrir una dirección indicada en el cabezal de los archivos ASF (Advanced Systems Format). En este caso, abre el archivo MI2.HTM (515 bytes).

Este HTML contiene un código JavaScript empotrado, que activa el componente MI2.CHM (11,373 bytes) del gusano (Windows Compiled HTML), que es un falso archivo de ayuda, el cuál intenta descargar y ejecutar al componente principal, MI2.EXE.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

4. Actualice su Internet Explorer según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS02-023)
http://www.vsantivirus.com/vulms02-023.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
26/jul/02 - Alias: Worm/Manymize.A, W32/Manyme.A-mm
26/jul/02 - Alias: I-Worm.Manymize, Win32.Manymize.A@mm
26/jul/02 - Mensajes con dominio '@patame.com.tw'.
26/jul/02 - Tamaño MI2.CHM (19461 bytes)



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS