W32/Sponge@MM, I-worm.Sponge

Sponge es un gusano reportado el 29 de Octubre del 2002 de alta propagación masiva través de mensajes de correo con un archivo anexado de nombre Spongy.exe, con efectos destructivos, ya que sobre-escribe y trunca archivos con extensiones .SCR y .PIF e infecta documentos de MS Word dejándolos inutilizables.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Ha sido desarrollado en lenguaje Visual Basic, tiene 14 KB de extensión y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección y eliminación:

Al ser ejecutado el archivo infectado, el gusano se autocopia con los siguientes nombres: 

C:\SpongeBob_Game.exe 
C:\SpongeBob.scr 
C:\SpongeBob.com 
C:\Jokes.pif 
C:\SpongeBob.eml 
C:\Explore\Help.exe 
%Windows%\knox\ace1.com

%Windows%, es una variable que por defecto es C:\Windows para Windows 95/98/Me/XP y C:\Winnt para  NT/2000.

Para activarse la próxima vez que se inicie el sistema, genera un archivo llamado ace1.com el cual es agregado a la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
WlNRUN = "%Windows%\knox\ace1.com"

Su payloads son los siguientes:

• Sobre-escribe su código infectado en archivos con extensiones .SCR y .PIF a los cuales trunca. 
• Inutiliza todos los documentos de MS Word al infectar la plantilla NORMAL.DOT. 
• Se auto-envía a los buzones de la Libreta de Direcciones de MS Outlook, con un efecto multiplicador.

• Inserta su código viral a los archivos .HTML para infectar cuando son ejecutados.

PER ANTIVIRUS® versión 7.7 con registro de virus al 29 de Octubre del 2002 detecta y elimina eficientemente este gusano.