W32/Matcher.A-mm. Envío masivo de mails, una vez por minuto

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 285 - Año 5 - Jueves 19 de abril de 2001

Nombre: W32/Matcher.A-mm
Tipo: Gusano de Win32
Tamaño: 28,672 bytes
Fecha: 18/abr/01
Alias: Lonely Hearts Virus, Matcher, I-Worm_Matcher, W32/Matcher, Troj_Matcher.A, W32.Matcher

"Matcher" no posee ninguna rutina destructiva, más allá de su facilidad de propagarse a través del correo electrónico. Pero esta rutina puede llegar a ser un grave problema para muchos servidores de correos, sobre todo corporativos, o para usuarios que estén conectados las 24 horas a Internet, debido a que es capaz de enviarse a toda la libreta de direcciones del Outlook, una vez por cada minuto.

Está escrito en Visual Basic (no confundir con Visual Basic Script), por lo tanto es capaz de funcionar aún sin tener instalado el Windows Scripting Host (WSH). Se trata de un ejecutable de Win32 en formato PE (Portable Executable).

Esta versión no está encriptada ni comprimida con ninguna utilidad.

Para funcionar, requiere que la librería de Visual Basic 6, MSVBVM60.DLL, se encuentre instalada en el sistema. Esto reduce las posibilidades de ejecución del gusano, ya que este DLL se instala solo a través de algún programa que lo requiera, y no es parte de una instalación estándar de Windows.

Su código, posee muchas similitudes al conocido "Melissa", siendo casi idéntico en varias de sus secuencias (aunque "Melissa" sea un virus de macros).

Puede llegar a nosotros en un mensaje con referencia a un programa que dice poder ayudarnos a encontrar nuestra pareja. Este "gancho" no posee tanta importancia en nuestro idioma, ya que es muy probable que muchos usuarios no entienda su significado, al estar el mensaje en inglés. Estas son sus características (incluidos errores gramaticales en el texto):

Asunto: Matcher

Texto:
Want to find your love mates!!! Try this its cool... Looks
and Attitude Maching to opposite sex.

Archivo adjunto: matcher.exe

Al hacer doble clic sobre el adjunto, aparentemente no ocurrirá nada. El usuario no verá ningún efecto en su acción, y tal vez no se preocupe más del tema, pensando que ese archivo no funciona.

Sin embargo, el virus quedará residente en memoria, y al pulsar CTRL+ALT+SUPR aparecerá como una tarea llamada "ExplorerExe" (note que existe al menos una tarea "Explorer" perteneciente al sistema operativo, que nada tiene que ver con el virus).

Para instalarse en el sistema, el gusano se copia a si mismo en esta ubicación:

C:\Windows\System\matcher.exe

Luego modifica la clave del registro necesaria para poder ejecutarse en cada reinicio del sistema:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/
(Predeterminado) = C:\Windows\System\matcher.exe

Bajo ciertas circunstancias, el virus se enviará a si mismo a toda la libreta de direcciones del Outlook (siempre que el Outlook esté presente), una vez por cada minuto.

El gusano no intenta ocultarse, y tampoco borra las copias de mensajes enviados por él, de la carpeta de "Elementos enviados".

En forma adicional, en el archivo AUTOEXEC.BAT serán agregadas estas líneas:

@echo off
echo from: Bugger
pause

Esto desplegará este mensaje al iniciarse la computadora infectada:

from: Bugger
Presione cualquier tecla para continuar . . .

En cada inicio del sistema (o sea con cada ejecución del archivo MATCHER.EXE), se repetirán todas las acciones. El propio virus será copiado nuevamente en el directorio Windows\System y será modificado nuevamente el registro, lográndose en cada caso, simplemente su sobre escritura.

Sin embargo, las instrucciones añadidas al AUTOEXEC.BAT se sumarán con cada reinicio. Esto en principio hará que cada vez aparezcan más leyendas de este tipo:

from: Bugger
Presione cualquier tecla para continuar . . .

from: Bugger
Presione cualquier tecla para continuar . . .

from: Bugger
Presione cualquier tecla para continuar . . .

Como sacar el virus de un sistema infectado

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

"(Predeterminado)" "C:\Windows\System\matcher.exe"

4. Pinche sobre el nombre "(Predeterminado)" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave. Luego de ello, debería aparecer lo siguiente de inmediato:

"(Predeterminado)" "(valor no establecido)"

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

7. Pinche en Inicio, Buscar, Archivos o carpetas.

8. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

9. En la casilla "Nombre" escriba (o "corte y pegue") el siguiente nombre:

matcher.exe

10. Pinche en "Buscar ahora".

11. Si aparece ese archivo, márquelo.

12. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.

13. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

14. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.

Para eliminar las líneas agregadas al AUTOEXEC.BAT, desde Inicio, Ejecutar, escriba: SYSEDIT, seleccione C:\AUTOEXEC.BAT y borre las siguientes líneas, si aparecen en dicho archivo:

@echo off
echo from: Bugger
pause

Grabe los cambios realizados al salir.

Fuente: Trend Micro, Kaspersky, Panda, Symantec, Network Associates, Computer Associates, Message Labs, Sophos, F-Secure