Gusano Medellín

Hace unos días se ha dado a conocer una amenaza conocida con el nombre Medellín, la cual se propaga por correo electrónico y a través de la ejecución automática en dispositivos USB.

Este gusano genera mensajes provocativos hacia el usuario y luego procede a eliminar ciertos componentes del sistema operativo, necesarias para el funcionamiento del mismo. Debido a esto, posterior a la infección con este gusano, el sistema no volverá a arrancar.

Mensajes-Medellín

Luego de mostrar estos mensajes, realiza las siguientes acciones en el disco local y particiones:

  • Muestra los siguiente mensajes (insultos y errores ortográficos incluídos):
    • te molestan los Virus???
    • Error 401 Este pc debe ser formateado xD,  Llamanos.
    • Soy tu dios y decido meterte un dedo en el culo y llenarte de virus cuando quiera
    • NOS NECESITAS??? ..SOMOS Medellin,  Mantenimientos, y Partes de Computadores,  visitanos estamos ubicados en Medellín
    • TE A MARCADO LA HORA!!!
  • Elimina archivos, algunos de ellos indispensables para el sistema operativo:
    • C:boot.ini
    • C:ntldr
    • C:NTDETECT.COM
    • C:AUTOEXEC.BAT
    • C:WINDOWSregedit.exe
    • C:WINDOWSnotepad.exe
  • Crea el archivo autorun.inf y wind.exe en la raíz de todos los discos y unidades disponibles en el sistema.
  • Genera las siguientes carpetas y archivos:
    • D:TONTOS
    • D:PAILAS
    • C:HOLA
    • C:COMO
    • C:ESTAS
    • C:PAILAS
    • C:MEDELLIN
    • D:documentos
    • D:SOMOSMEDALLO
    • D:MEDELLIN
  • Crea el archivo C:WINDOWSsystem32wind.exe
  • Crea el archivo D:documentoschicas.exe
  • Agrega la siguientes entradas en el registro:
    • HKLMSoftwareMicrosoftWindowsCurrentVersionRun con los siguientes valores:
      C:WINDOWSsystem32wind.exe
      D:documentoschicas.exe

Esta amenaza es detectada por ESET NOD32 como Win32AutoRun.YU:

Medellín

En una posible infección, los archivos eliminados por este gusano pueden recuperarse desde otro sistema sin infectar o desde el CD de Windows 2000 o Windows XP, utilizado la consola de recuperación.

Para evitar la infección, como siempre es fundamental contar con un antivirus actualizado como ESET NOD32 que detecte este tipo de malware en todo momento y, en este caso también se puede prevenir la ejecución automática a través de dispositivos USB para evitar propagar esta infección.

Alejandro

Autor , ESET

  • Pingback: Gusano Medellín | Info Spyware()

  • Pingback: Gusano Medellín | TELEFONIA ADSL INFORMATICA WINDOWS()

  • Stewart

    Análisis completo del “Virus Medellín” con vídeos de como resolverlo y el nombre del autor en http://www.dragonjar.org/analisis-del-virus-medellin.xhtml

  • Maria

    Hola, no soy ingeniera ni mucho menos, pero hice una locura con mi pc a mero instinto con tal de borrar este virus. Solo quiero saber si esto sirbe o definitivamente debo hacer otra cosa.

    1. Abri el administrados de tares, termine el proceso de wind.exe y de forma inmediata elimine los arcivos que estaban de forma oculata en el pc y en las memorias.

    2. Las reinicie el equipo varias veces y los busque por todo lado estando pendiente en los procesos y definitivamente no lo encontre.

    3. desactive la opcion de autoarranque en mi pc para todos los dispositivos y voy a salvar toda mi informacion por si algo

    Porfavor diganme si esto esta mal, la verdad no entiendo casi nada de esto, solo lei que ese virus me puede dejar sin arranque el pc. Gracias.

  • Hola Maria,
    la manera de proceder es correcta, felicitaciones por ello. Sin embargo, hay algunas dudas:

    en esta eliminación de archivos ¿está incluido el wind.exe? Si es así, bien, de lo contrario, tienes que encontrarlo y eliminarlo también.

    Otra cosa que podes hacer es mirar la clave “run” del registro para ver si existe alguna referencia al malware.

    Podes consultar los siguientes post:
    Cuando quedan rastros del malware
    Identificando procesos maliciosos en sistemas Windows
    Conociendo lo que hay en nuestro sistema

    Saludos.

  • Luis

    Que Bueno Que Se descubren Este tipo De Cosas Para El Que lo Vea Recomiendo usar el ESET Smart Security 4 Es Excelente Aun Le Falta Poco Con El Firewall Pero El Resto Excelente Felicitaciones A Todo El Grupo Del Laboratorio

  • Diego

    hola…al parecer encontre un virus que eset no quiere eliminar por mas que actualizo la base de firmas las mas recientes..que ago??¿??..

    • Hola Diego,

      Si estás teniendo problemas con la detección de algún malware en especial, te solicitamos que entres en contacto con nuestro soporte para que podamos ayudarte con tu caso lo más rápido posible!

      Saludos,
      Raphael

Síguenos