| |
Jueves 9 de noviembre de 2000
Nombre: VBS/Scary
Variantes: VBS/Scary.A
Alias: VBS/Scary@mm, VBS/Scary.A@mm
Tipo: Gusano de Visual Basic Script (VBS)
Se trata de un gusano, escrito en Visual Basic Script que envía mensajes en masa, con el mismo virus adjunto.
Puede llegar a nosotros en un mensaje con el asunto: "The Secret of
Life", el cuerpo del mensaje vacío, y un archivo adjunto que puede ser
"SECRET.HTM" o "SCARE.HTM", según la variante.
Cuando el adjunto es abierto (doble clic), el gusano se ejecuta.
Puede entonces mostrar este mensaje para engañar al usuario, solicitándole la activación de ActiveX:
This HTML files needs ActiveX objects to operate.
Please click 'Yes' to enable ActiveX
En cambio, si el Internet Explorer está configurado para advertirnos de la ejecución de elementos ActiveX, el IE mostrará una ventana con el siguiente mensaje:
Internet Explorer
Algún código (controles ActiveX) en esta página podrían no
ser seguros. Se recomienda que usted no lo ejecute. ¿Desea
permitir su ejecución?.
El mensaje se produce porque el virus utiliza códigos ActiveX no firmados. Si el usuario contesta NO a esta pregunta, este código ActiveX no se ejecutará, sin embargo, sí lo hará el código en VBScript del virus.
Si el ActiveX se ejecuta, lo primero que el gusano hace, es cambiar el tamaño de la ventana del browser, para que cubra toda la pantalla.
Luego, se envía a si mismo a todos los contactos de la libreta de direcciones del Outlook, y se copia con el mismo nombre del adjunto recibido, al directorio de inicio de Windows:
C:\WINDOWS\Menú Inicio\Programas\Inicio
También modifica los atributos del archivo copiado ("SECRET.HTM" o "SCARE.HTM"), para que este permanezca "oculto" (+H) y como de "solo lectura" (+R).
Se utilizan las rutinas MAPI de Windows para enviar los mensajes infectados, con el mismo asunto ("The Secret of Life") y archivo adjunto (el propio virus), que puede ser como vimos SECRET.HTM o SCARE.HTM.
Después de esto, el virus despliega una ventana avisando que va a borrar todos los directorios de todas las unidades de disco. Pero en lugar de cumplir su amenaza, el gusano crea veinte archivos con la extensión .TMP en el directorio raíz de cada disco.
La variante (Scary.A), despliega numerosas ventanas de mensajes en un esfuerzo por engañar al usuario y hacerlo creer que la información de sus contraseñas ha sido robada y enviada vía e-mail.
Finalmente, ambas variantes del virus muestran uno de los siguientes mensajes:
So how did you feel being dishonored in public?
[YES] [NO]
o
Genie of all secrets
So did you learn your lesson?
[YES] [NO]
Si el usuario pulsa el botón YES, el archivo inserta un archivo de "inoculación" llamado WinGen.dll en la carpeta WINDOWS\SYSTEM, para que el archivo guardado en la carpeta de inicio no sea ejecutado.
Si el usuario selecciona NO, el virus no hace más que mostrar otro mensaje, y el archivo .HTM creado en la carpeta de inicio, será ejecutado en el próximo arranque de Windows.
Si este archivo se ejecuta, y no encuentra el archivo WinGen.dll, el virus lanzará la rutina de envío de correo en masa, con las mismas características vistas antes.
Para eliminarlo, se deben borrar los archivos SCARE.HTM o SECRET.HTM de la carpeta "C:\WINDOWS\Menú Inicio\Programas\Inicio" (recuerde que tienen los atributos de ocultos y solo lectura), y también el archivo WINGEN.DLL en la carpeta "C:\WINDOWS\SYSTEM", si existiera.
Fuentes: Análisis del virus por parte de F-Prot y McAfee.
|
|
