GOODIES, de propagación masiva a través de la red Kazaa y MS Outlook.  

© Jorge Machado  Lima-Perú

W32/Goodies@mm, W32/Gdies@mm 

GOODIES es un gusano reportado el 28 de Julio del 2002, que se propaga masivamente entre los usuarios que comparten la red Kazzaa y a través de la Libreta de Direcciones de MS Outlook, en un mensaje de correo con un archivo anexado de 15.5 KB de extensión, de nombre windows_update.txt.exe, que simula contener una "Actualización para Windows". 

Este gusano con formato PE (Portable Ejecutable) infecta Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000

Cuando el archivo infectado es ejecutado el gusano se auto-copia a la carpeta de descarga, donde se ha instalado por defecto el software de Kazaa y crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Kazaa\LocalContent]
DownloadDir = %Directorio_por_defecto%

Para ser ejecutado la próxima vez que se inicie el sistema el gusano modifica esta llave del registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default = C:\Windows\Kazaa\windows_update.exe

Luego se auto-copia a la carpeta de descarga de Kazaa, con los siguientes nombres: 

El gusano también crea archivos de nombres similares a los anteriores, e intenta conectarse a una dirección web, la misma que ya ha siso clausurada.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de correo de la libreta de direcciones de MS Outlook, además de las direcciones que pueda extraer de archivos con las siguientes extensiones:

Este gusano no tiene un payload destructivo, siendo su objetivo saturar a los servidores, estaciones de trabajo y PC domésticas que logre infectar.

PER ANTIVIRUS® versión 7.6 con registro de virus al 28 de Julio del 2002 detecta y elimina eficientemente este gusano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS