Virus: VBS/COD

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

Virus: VBS/COD

Domingo 9 de julio de 2000

Nombre: VBS/COD
Tipo: Trojan, VBS Script
Alias: Crayon of Doom, LIST.VBS, PORNLIST.DOC

Se trata de un gusano de Internet escrito en VBScrips, y contenido en un documento Word (como objeto OLE). El gusano llega en un e-mail o a través del IRC, desde un usuario infectado. El nombre del archivo es: "PORNLIST.DOC".

El virus requiere el Windows Scripting Host (WSH) para ejecutarse.

El mensaje recibido es este:

Asunto:

"Hey whats up, Important!"

Texto:

"Hey I attatched a list for you to this e-mail take a look at it and tell me what you think."

Archivo adjunto: "C:\PORNLIST.DOC"

Este adjunto es un documento de Word, conteniendo el script llamado "LIST.VBS", que se presenta en dicho documento con este texto:

Double click me to view my picture
Please view my nude picture and e-mail me back if you think that I am good enough to pose for my webpage.

email: sexygirl18@hotmail.com

El icono debajo de la sugerencia del "doble clic", es el de un archivo de imagen .GIF, pero el objeto no es una imagen, sino un archivo .VBS (Visual Basic Script).

Si pinchamos sobre este objeto (doble clic), y el Windows Scripting Host (WSH) está activo (vea aquí como deshabilitarlo), se ejecutará el virus, escribiendo sus archivos en el sistema y enviándose a si mismo a todos los contactos de todas las libretas de direcciones a través de un correo electrónico (MAPI). También buscará una versión instalada del cliente de chat "mIRC" (en "C:\MIRC") o de "Pirch98" (en "C:\PIRCH98"). Si los encuentra, modificará el script de estas aplicaciones para distribuirse a si mismo cuando se conecte a cualquier canal de IRC.

El gusano se copia a si mismo al disco duro local, con estos nombres:

[temp]\list.vbs
WINDOWS\cod.cod
WINDOWS\list.vbs
WINDOWS\winsck.vbs
WINDOWS\SYSTEM\explorer.vbs
WINDOWS\SYSTEM\list.vbs

También busca todas las unidades mapeadas de una red, y copia los archivos PORNLIST.DOC y LIST.VBS al directorio raiz de las computadoras en red.

El gusano revisa luego la siguiente clave del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion
Sent? = [valor]

Si [valor] está vacío (null), el virus ejecuta su rutina de e-mail, y luego coloca como [valor] un "1". La rutina de e-mail envía un mensaje infectado como se menciona arriba, y también envía mensajes separados en este formato:

Destinatario: "ilikerolls@aol.com"
Asunto: "I am screwed"
Texto: "I am infected with the crayon of doom virus!"
Archivo adjunto: "C:\PORNLIST.DOC"

El gusano modifica el registro y los archivos de configuración WIN.INI y SYSTEM.INI, para poder ejecutarse al reiniciarse Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ScanRegistry = WINDOWS\list.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run = WINDOWS\SYSTEM\list.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices = [temp]\list.vbs

Modificaciones del archivo WIN.INI:

[windows]
run = WINDOWS\winsck.vbs

Modificaciones del archivo SYSTEM.INI:

[boot]
shell = Explorer.exe explorer.vbs

Si los programas mIRC o PIRCH98 existen, el virus modifica sus scripts para distribuir el archivo "C:\PORNLIST.DOC" a los canales de IRC cuando se ingresa a ellos. También modifica el SCRIPT.INI del mIRC para permitir la recepción de los archivos con las extensiones: *.exe, *.com, *.bat, *.dll, *.ini y *.vbs.

El gusano posee una rutina de auto chequeo, para verificar que ninguno de los archivos creados no hayan sido removidos, y si han sido borrados, los vuelve a crear. También el registro es chequeado y se verifica que las claves agregadas no hayan sido quitadas o modificadas.

El virus contiene esta línea de comentario en su código, la que nunca es visualizada:

'Crayon Of Doom Virus By crayolarx