W32/Prestige@mm, IRC/Prestige

Prestige es un gusano reportado el 12 de Diciembre del 2002, de alta propagación masiva a través de mensajes de correo y del IRC (Internet Chat Relay) con un archivo anexado de nombre PRESTIG.ZIP, cuyo Asunto alude al reciente derramamiento de petróleo ocasionado por el barco PRESTIGE frente a las costas de España.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Assembler, ocupa 10 KB y se auto-envía a todos los buzones de la Libreta de Direcciones de MS Outlook y a los usuarios del mIRC y Pirch. 

Al ejecutar el archivo infectado muestra una caja de diálogo que solicita la instalación de un Plug-in:

Al hacer click en "OK" se muestra otra caja de diálogo:

Al "Aceptar" el archivo se desempaqueta y copia a la carpeta %System% con el nombre de PRESTIGE.EXE 

Inmediatamente crea copias de sí mismo, con diferentes nombres, en la carpeta del sistema de Windows: 

%System%\m_prgrm.zip     (copia comprimida del gusano)
%System%\m_Base64.xrf   (copia del mensaje de correo)
%System%\m_WAB.XRF      (almacena las direcciones de correo a ser enviadas)

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Luego renombra el REGEDIT.EXE como m_regedit.exe y crea un falso archivo, que es una copia del gusano, el cual al ser ejecutado impedirá que el usuario pueda editar registros. 

Para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] 
default = %System%\PresTiGe.exe

Su payload por lo atractivo del asunto que es un tema de gran actualidad, está ocasionando que se propague masivamente intentando saturar servidores de correo e IRC, y estaciones de trabajo.

PER ANTIVIRUS® versión 7.8 con registro de virus al 12 de Diciembre del 2002 detecta y elimina eficientemente este gusano.