Hace unos días se ha dado a conocer una amenaza conocida con el nombre Medellín, la cual se propaga por correo electrónico y a través de la ejecución automática en dispositivos USB.

Este gusano genera mensajes provocativos hacia el usuario y luego procede a eliminar ciertos componentes del sistema operativo, necesarias para el funcionamiento del mismo. Debido a esto, posterior a la infección con este gusano, el sistema no volverá a arrancar.

Mensajes-Medellín

Luego de mostrar estos mensajes, realiza las siguientes acciones en el disco local y particiones:

  • Muestra los siguiente mensajes (insultos y errores ortográficos incluídos):
    • te molestan los Virus???
    • Error 401 Este pc debe ser formateado xD,  Llamanos.
    • Soy tu dios y decido meterte un dedo en el culo y llenarte de virus cuando quiera
    • NOS NECESITAS??? ..SOMOS Medellin,  Mantenimientos, y Partes de Computadores,  visitanos estamos ubicados en Medellín
    • TE A MARCADO LA HORA!!!
  • Elimina archivos, algunos de ellos indispensables para el sistema operativo:
    • C:boot.ini
    • C:ntldr
    • C:NTDETECT.COM
    • C:AUTOEXEC.BAT
    • C:WINDOWSregedit.exe
    • C:WINDOWSnotepad.exe
  • Crea el archivo autorun.inf y wind.exe en la raíz de todos los discos y unidades disponibles en el sistema.
  • Genera las siguientes carpetas y archivos:
    • D:TONTOS
    • D:PAILAS
    • C:HOLA
    • C:COMO
    • C:ESTAS
    • C:PAILAS
    • C:MEDELLIN
    • D:documentos
    • D:SOMOSMEDALLO
    • D:MEDELLIN
  • Crea el archivo C:WINDOWSsystem32wind.exe
  • Crea el archivo D:documentoschicas.exe
  • Agrega la siguientes entradas en el registro:
    • HKLMSoftwareMicrosoftWindowsCurrentVersionRun con los siguientes valores:
      C:WINDOWSsystem32wind.exe
      D:documentoschicas.exe

Esta amenaza es detectada por ESET NOD32 como Win32AutoRun.YU:

Medellín

En una posible infección, los archivos eliminados por este gusano pueden recuperarse desde otro sistema sin infectar o desde el CD de Windows 2000 o Windows XP, utilizado la consola de recuperación.

Para evitar la infección, como siempre es fundamental contar con un antivirus actualizado como ESET NOD32 que detecte este tipo de malware en todo momento y, en este caso también se puede prevenir la ejecución automática a través de dispositivos USB para evitar propagar esta infección.

Alejandro