Se trata de un gusano de Visual Basic Script, con su código encriptado, capaz de enviarse a todos los contactos de todas las libretas de direcciones.

El mensaje infectado que podemos recibir, tiene estas características:

Asunto: Mawanella
Texto: Mawanella is one of the Sri Lanka's Muslim Village
Archivo adjunto: Mawanella.vbs

El gusano se activa cuando el usuario abre el adjunto.

Si no se posee el Microsoft Outlook u Outlook Express instalado, el gusano solo despliega este mensaje:

Please Forward this to everyone

Si en cambio existe alguno de estos programas en la computadora de la víctima (puede existir aún cuando no se utilicen como programas de correo por defecto), entonces el gusano crea una copia de si mismo en la carpeta del sistema:

En Windows 9x/Me:

C:\WINDOWS\System\mawanella.vbs

En Windows NT/2000:

C:\WINDOWS\System32\mawanella.vbs

Luego, un mensaje con dicho archivo adjunto, es creado por cada contacto de las libretas de direcciones, y enviado inmediatamente. Los mensajes son similares al descripto más arriba.

Finalmente, el virus muestra el siguiente mensaje (este mensaje se muestra aún cuando no se posea el Outlook, y el virus no haya podido enviarse vía e-mail):

Mawanella

     )                    (  
    (  )                (   )    
      (    )          (   )  
        (   )      (         )  
        -------------------------  
       /       (   (    (       /\  
      /          (             /  \  
     /            ( (         /    \  
     --------------------------------  
     |                ---    |      |  
     |  -----        |   |   |      |  
     | |     |        ---    |      |  
     | |     |               |      |  
     --------------------------------  

    Mawanella is one of the Sri Lanka's Muslim Village.
    This brutal incident happened here 2 Muslim Mosques & 100 Shops are burnt.
    I hat this incident, What about you? I can destroy your computer
    I didn't do that because I am a peace-loving citizen.

Escrito en Visual Basic Script (VBS), el gusano solo se propaga en computadoras que tengan instalado el Windows Scripting Host (WSH). Al final de esta descripción se dan enlaces a los artículos de nuestro sitio que le ayudarán a desactivar esta utilidad.

Su código, en Visual Basic Script, está encriptado. Si lo editamos, sólo es visible (o entendible) la función usada para la desencriptación.

Si el adjunto es ejecutado, dicha función examina todos los caracteres del código encriptado, y les resta un valor fijo, para convertirlos, tratando de forma especial los códigos de salto de línea, retorno, espacio y tabulación.

Luego de la desencriptación, se ejecuta el código del gusano, el cuál dispone de un control básico de errores.

Como se vio antes, si se posee el Outlook, u Outlook Express instalado, entonces un mensaje es creado por cada contacto de las libretas de direcciones, y enviado inmediatamente.

Este gusano no agrega ningún tipo de marca en ninguna parte de la computadora infectada, cada vez que lanza su rutina de propagación (una clave en el registro por ejemplo), de modo que enviará sus mensajes infectados, cada vez que el usuario ejecuta el archivo.

Tampoco posee alguna rutina destructiva, salvo la de enviar mensajes infectados, y copiarse al disco duro.

El código del virus, posee este comentario (que no es mostrado):

// I hate Mawanella incident

Para remover el gusano de un sistema infectado, ejecute uno o más antivirus al día en su sistema (deben estar actualizados a fechas iguales o posteriores al 17 de mayo de 2001). Borre todas los archivos que sean detectados como infectados.

Para deshabilitar el Windows Scripting Host (WSH) y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS

Ver también:
18/may/01 - Virus Mawanella. O cómo ser rehenes de nuestra estupidez

(c) Video Soft - http://www.videosoft.net.uy