Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Mseus.A realiza las siguientes acciones:
- Cuando es ejecutado, se muestra una carpeta denominada IQTEST. Esta carpeta contiene un archivo ejecutable denominada IQTEST.EXE, que es realmente un test de inteligencia y un archivo de texto que contiene el siguiente mensaje:
Iqtest is configured to start of IQ test, run IQTEST.EXE in this folder (Iqtest está configurado para comenzar el IQ test, ejecute IQTEST.EXE en esta carpeta).
La siguiente imagen corresponde a la carpeta del test:
- De hecho, si los usuarios ejecutan el archivo harán realmente el test de inteligencia (en este caso, será en checo). En primer lugar aparecerá una pantalla con una serie de instrucciones y explicaciones sobre el test en checo:
- Produce importantes daños en el ordenador, ya que sobrescribe con ceros los primeros 50kbs del MBR (Master Boot Record). De esta manera, el ordenador no puede ni siquiera reiniciarse.
- Sin embargo, esto no se produce inmediatemente después de que el malware haya sido ejecutado, sino que permanece latente durante 7 o 10 días, y es entonces cuando se sobrescribe el MBR parcialmente, dejando el ordenador inutilizable.
Metodo de Infección
Mseus.A crea los siguientes archivos en el directorio de sistema de Windows:
- MSEUS.EXE, que es una copia del virus.
- TOKSET.DLL
- MSEU.SYS y MSTART.SYS, en la subcarpeta drivers. Estos dos archivos son los que se encargan de sobrescribir parte del MBR (Master Boot Record).
Además, crea un archivo denominado AINF.INF en las unidades extraíbles y en las carpetas compartidas. De esta manera, la copia del malware se ejecuta automáticamente cada vez que se accede a alguna de ellas.
Mseus.A crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dump = %sysdir%\mseus.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Mseus.A consigue ejecutarse cada vez que Windows se inicia. - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mseu
%sysdir%\drivers\Mseu.sys - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART
%sysdir%\drivers\Mstart.sys
Mediante estas entradas, los drivers MSEU.SYS y MSTART.SYS se registran como servicios y de esta manera se ejecutan cada vez que Windows se inicia.
Método de Propagación
Mseus.A utiliza los siguientes medios para propagarse:
1.- Técnicas de ingeniería social
Puede llegar al ordenador haciéndose pasar por un test de inteligencia que puede ser descargado desde ciertas páginas web o puede ser distribuido en mensajes de correo electrónico.
También puede llegar al ordenador como un archivo auto-extraíble comprimido con contraseña (la contraseña es notificada al usuario previamente), como en la siguiente imagen:
2.- Unidades extraíbles y carpetas compartidas
Se propaga realizando copias de sí mismo en las unidades extraíbles y las carpetas compartidas. Además, crea un archivo denominado AINF.INF en estas unidades, para que la copia del malware se ejecute automáticamente cada vez que se accede a ellas.
Otros Detalles
Mseus.A tiene un tamaño de 228352 Bytes.
Como curiosidad mencionar que en un principio este malware fue creado para atacar a un club motociclista de Eslovaquia.
Investigación realizada por Jose Julio Ruiz de Loizaga.