CREATIVE o PROLIN

© Jorge Machado  Lima-Perú

Creative, Prolin, Shockwave, W32/Prolin@mm, TROJ_SHOCKWAVE, TROJ_PROLIN

Creative o Prolin es un gusano que se propaga a través de mensajes de correo, con un archivo anexado CREATIVE.EXE y se auto-envía usando MS Outlook . Este archivo ejecutable de 37 KB está desarrollado en Visual Basic y emplea la técnica estándar del virus "Melissa" auto-enviándose a cada una de estas direcciones. 

Mensaje al usuario, del gusano Creative o Prolin.

Una vez infectado un sistema, el gusano envía un mensaje a su autor, informándole acerca de una nueva infección a un sistema: 

Mensaje a su autor, del gusano Creative o Prolin.

Luego el gusano se auto-instala en el sistema, dos (2) veces, en una computadora infectada. Una copia es enviada al directorio raíz C:\ y la otra es creada en el sub-directorio C:\Windows \Start Menu\: 

C:\creative.exe
C:\WINDOWS\Start Menu\Programs\StartUp\creative.exe
La segunda copia es colocada en un sub-directorio "auto-run", y será activada en cada sesión de Windows.

Este gusano tiene un "payload" muy peligroso que busca en todas las unidades de disco, obtiene los archivos ZIP, MP3, y JPG y los renombra a la unidad C: con el nombre: 

C:\%victimfile%change atleast now to LINUX

Por ejemplo, GRAFICO.JPG e INFORME.ZIP son movidos y renombrados: 

C:\GRAFICOS.JPGchange atleast now to LINUX
C:\INFORME.ZIPchange atleast now to LINUX

Creative o Prolin también crea un archivo de texto "messageforu.txt" en el directorio raiz C:\ donde escribe algún texto y agrega una lista de los archivos renombrados: 

 Hi, guess you have got the message.  I have kept a list of files that I
 have infected under this.  If you are smart enough just reverse back the
 process.  i could have done far better damage, i could have even
 completely wiped your harddisk.  Remember this is a warning & get it sound
 and clear... - The Penguin
 C:\WINDOWS\SYSTEM\OOBE\IMAGEX\BGAMEX.JPG
 C:\BACKUP\DATA.ZIP
Hola, creo que recibiste el mensaje. He guardado una lista de archivos que he
infectado. Si eres lo suficientemente listo simplemente retrocede el proceso.
Pude haberte hecho un daño mayor, yo pude aún borrar
tu disco duro por completo. Recuerda esta advertencia y deja que suene
y claro... - El Pinguino
C:\WINDOWS\SYSTEM\OOBE\IMAGEX\GRAFICO.JPG
C:\BACKUP\INFORME.ZIP

Usando la lista de archivos renombrados, manualmente pueden ser restaurados a sus ubicaciones originales, siempre y cuando la computadora infectada no haya sido re-iniciada. De lo contrario el gusano remueve la lista de los archivos renombrados al archivo "messageforu.txt".

PER ANTIVIRUS® detecta este gusano, impide su ejecución y lo elimina eficientemente.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS