Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: HERCOLUBUS.Vbs. Borra todos los archivos del sistema
 
VSantivirus No. 424 - Año 5 - Miércoles 5 de setiembre de 2001

Nombre: HERCOLUBUS.Vbs
Tipo: Gusano
Origen: Perú
Fecha: 4/set/01

[Descripción realizada por Jorge Machado de Per Antivirus http://www.persystems.com (Lima-Perú) y tomada con permiso de su autor]

HERCOLUBUS.Vbs es un gusano reportado el 04 de Septiembre de 2001 en el Perú, su código viral está escrito en lenguaje MS Visual Basic Script e infecta sistemas Windows de 32 bits (95/98/Me/NT/2000) y Windows XP.

Este gusano ha sido creado inspirándose en el libro llamado "Hercolubus o Planeta Rojo" http://www.hercolubus.net del autor V.M. Rabolú, en el que se describe una catástrofe mundial debido al acercamiento de este planeta a la tierra.

"Hercolubus, también llamado "Planeta Rojo", es un planeta gigantesco varias veces mayor que Júpiter que se está aproximando rápidamente a nuestro sistema solar. El acercamiento de Hercolubus a la Tierra será el principio del fin de la humanidad. La enorme atracción gravitatoria de este Planeta Rojo provocará multitud de erupciones volcánicas, terremotos, maremotos, etc., en nuestro planeta, que se irán haciendo cada vez más frecuentes e intensos hasta concluir con el fin del mundo. Esto no es una ficción sino un hecho real que pronto se hará evidente".

El gusano se propaga a través de mensajes de correo electrónico vía Internet, con un archivo anexado denominado Mensaje_Cosmico.vbs haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface). Una vez que un sistema es infectado, HERCOLUBUS se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en este mensaje de correo:

Asunto: MENSAJE COSMICO

Texto:
Este es un mensaje muy importante, sólo para la conciencia...

Archivo adjunto: Mensaje_Cosmico.vbs

Cuando el archivo Mensaje_Cosmico.vbs es ejecutado por primera vez se muestra la siguiente caja de diálogo:

VBScript: MENSAJE COSMICO

YA DEBES SABER QUE HERCOLUBUS, EL PLANETA ROJO DEL SISTEMA SOLAR TYLA, SE APROXIMA A LA TIERRA.
NO HABRA ESCAPATORIA

[    OK    ]

Luego se auto-copia 2 veces en el directorio C:\WINDOWS\SYSTEM, con los nombres de THWIN.vbs y Mensaje_Cosmico.vbs.

El gusano incluye 2 rutinas destructivas o payload que se ejecutan en forma aleatoria. Una de ellas borra todos los archivos con las siguientes extensiones:

xls
doc
wav
dwg
mp3
bak
wav
bmp
htm
hlp
chm
jpg
gif
scr
ttf
mid
cdr

La segunda rutina es de mayor peligrosidad ya que borra todos los archivos del sistema con las siguientes extensiones:

sys
dll
ocx

Para finalmente FORMATEAR el disco duro, después de haber agregado la siguiente instrucción en el archivo C:\AUTOEXEC.BAT:

FORMAT C: /u /v:HERCOLUBUS /autotest

Luego modifica el registro de Windows para que el archivo sea ejecutado la próxima vez que se reinicie la PC:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
THWIN = C:\WINDOWS\SYSTEM\THWIN.vbs

También se propaga mediante disquetes A:\Hercolubus.zip.vbs, ocultándose bajo la extensión ZIP, simulando ser un archivo comprimido e invitando al usuario a hacer doble clic sobre el mismo.


(c) Jorge Machado
PER ANTIVIRUS
http://www.persystems.com
Lima-Perú

(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS