Gruel.B llega al equipo en un mensaje de correo electrónico fácilmente
reconocible, ya que en el asunto siempre figura la frase: "Symantec: New
Serious Virus Found", mientras que en el cuerpo de texto puede leerse: "Norton
Security Response: has detected a new virus in the Internet. For this reason we
made this tool attachement, to protect your computer from this serious virus.
Due to the number of submissions received from customers, Symantec Security
Response has upgraded this threat to a Category 5 (Maximum ).".
Por su parte, el fichero adjunto, y que contiene el código malicioso, lleva por
nombre: "Symantec_Norton_Tool.exe".
Además, también puede distribuirse a través de la aplicación para compartir
archivos KaZaA. Para ello, Gruel.B se copia en los directorios compartidos que
utiliza dicho programa como Windows XP KeyGen 2.5.exe.
En caso de que el archivo que contiene a Gruel.B sea ejecutado, se muestra en
pantalla un falso mensaje de error en Windows, dando la opción al usuario de
"enviar el error" o "enviar y cerrar". En caso de pulsar "enviar el error",
Gruel.B se enviará a todas la entradas de la libreta de direcciones y se
mostrará una nueva pantalla de error, que reaparecerá cada vez que el usuario
trate de cerrarla.
Sin embargo, si se pulsa sobre el botón "enviar y cerrar", el gusano abrirá
varias ventanas del panel de control, así como la bandeja de la unidad de
CD-ROM. Al mismo tiempo, muestra una ventana con un mensaje del autor del virus.
Además, el gusano cambia los passwords de los usuarios del equipo, oculta la
unidad C: impidiendo ver su contenido, desactiva la barra de tareas y borra una
gran cantidad de archivos de sistema, tales como autoexec.bat, config.sys o
command.com.
Por otra parte, Gruel.B genera un gran número de entradas en el registro de
Windows para llevar a cabo sus acciones.
Debido a la peligrosidad de este código malicioso, la multinacional aconseja
extremar la precauciones con cualquier mensaje de correo electrónico recibido,
así como actualizar de inmediato las soluciones antivirus. Panda Software ya ha
puesto a disposición de sus clientes las correspondientes actualizaciones de sus
productos para la detección y eliminación de Gruel.B, por lo que, si no tienen
su software configurado para realizarlo de modo automático, pueden proceder a
actualizar sus antivirus desde
http://www.pandasoftware.es.