Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos |
Mepe.A intenta cerrar las ventanas correspondientes a las siguientes herramientas del sistema: - Administrador de Tareas.
- Panel de Control.
- Editor del Registro de Windows.
- Restaurar Sistema.
- MSCONFIG.EXE.
Adicionalmente, muestra el siguiente mensaje en pantalla cuando es ejecutado: 
|
Metodo de Infección
Mepe.A crea los siguientes archivos:
- AUTOEXEC.BAT.EXE y CONFIG.SYS.EXE, en el directorio raíz de la unidad C:.
- JESSE.EXE en la subcarpeta SYSTEM32\ DRIVERS\ ETC del directorio de Windows.
Estos tres archivos, que son copias del gusano, intentan hacerse pasar por programas legítimos de Macromedia. Sus propiedades muestran el siguiente valor:
Flash Player 5.0 r30
Copyright © 1996-2000 Macromedia, Inc.
- CONFESIONAL.TXT en el directorio raíz de la unidad C:. Contiene el siguiente texto:
Dios solo nos dio un 1 y un 0 y con eso, hemos construido un universo
Mepe.A crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\Run
a = %windir%\ system32\ drivers\ etc\ jesse.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, Mepe.A consigue ejecutarse siempre que Windows se inicia. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ system
disabletaskmgr = 1
Esta entrada desactiva el Administrador de Tareas. - HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ ok\ jessy
virus = infectado
Mepe.A emplea esta entrada como marca de infección, para comprobar si previamente había afectado el ordenador.
Método de Propagación
Habitualmente, Mepe.A se propaga a través de MSN Messenger. Para ello, realiza el siguiente proceso:
- Busca ventanas abiertas que contengan la cadena de texto Conversación. Por ejemplo, la ventana de MSN Messenger en castellano incluye dicha cadena.
- Si encuentra alguna, intenta escribir el siguiente texto en ella:
te mandaron un recado conmigo, ya te has de imaginar quien y si no sabes me dijo que no te dijera quien, me dijo que te lo escribio en una postal y que de aqui la abras www.postalesdamor <bloqueado> com, bueno yo ya cumpli e?
- Después, envía las secuencias correspondientes a los caracteres Enter y Escape, para mandar el mensaje y cerrar la conversación.
- En realidad, la frase www.postalesdamor <bloqueado> com es un enlace que apunta a una copia de Mepe.A, llamada POSTAL563.EXE, y alojada en la página web h-ttp:// postalesdelmsn <bloqueado> .com.
- El ordenador es afectado cuando el usuario pulsa el enlace y ejecuta el archivo descargado.
Otros Detalles
Mepe.A está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 45056 Bytes.