En la
madrugada del 5 de setiembre (hora de España) ha sido descubierta una nueva y
peligrosa variante de un conocido virus aparecido hace ya varios meses. Esta es
una versión "mejorada" del virus Magistr original.
Las diferencias principales con su predecesor son: La rutina de destrucción ha
sido ampliada con la sustitución del programa WIN.COM y del archivo NTDLR
(usado en los sistemas operativos NT/2000) en los discos duros locales y
unidades de red local por un programa que borra el disco duro al reiniciar el
ordenador.
Cuando se infecta un archivo local, parte de éste es encriptado con una clave
que depende del nombre del ordenador. Esto hace que la desinfección del virus
sea extremadamente dificultosa.
Para reproducirse a través de Internet el gusano busca y utiliza también el
programa de correo Eudora, aparte del siempre utilizado Outlook.
Cuando infecta unidades de red local, busca en el disco los siguientes
directorios
WINNT - WINDOWS - WIN95 - WIN98 - WINME - WIN2000 - WIN2K - WINXP.
Si los encuentra, el virus introduce entonces una instrucción en los ficheros
WIN.INI y SYSTEM.INI: del ordenador remoto, en las secciones:
WIN.INI: Windows Run
SYSTEM.INI: boot shell
Esta versión del virus, al contrario que la anterior, puede enviar imágenes en
formato GIF junto con copias del propio virus en formato EXE. Los archivos GIF
son imágenes inofensivas, pero el programa que los acompaña están infectados
por el virus.
Finalmente, el gusano destroza
archivos con la extensión .NTZ si son encontrados en el disco, y finaliza el
firewall si lo encuentra ejecutado en memoria.
No hay
que olvidarse que si se navega por Internet es conveniente instalar en la
máquina un buen antivirus y realizar periódicamente respaldo en disquetes
(backups) de la información que se posea en el disco rígido.