Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: I-Worm.Scorpion. Se propaga con mensajes en español
 
VSantivirus No. 423 - Año 5 - Martes 4 de setiembre de 2001

Nombre: I-Worm.Scorpion
Tipo: Gusano de Internet
Fecha: 3/set/01
Tamaño: 370 Kb aprox.

Se trata de un peligroso gusano que se propaga a través de mensajes infectados por Internet.

Escrito en Delphi, el tamaño de su ejecutable es de 370 Kb, y sus mensajes se encuentran en español, lo que aumenta su peligrosidad (el SirCam y su mensaje "Hola como estás, etc." es una buena prueba de ello).

Cuando el usuario hace doble clic sobre el adjunto, el gusano se instala a si mismo en el sistema, registrándose como un proceso de servicio, lo que lo deja oculto en la lista de tareas (al pulsar CTRL+ALT+SUPR).

Luego, envía mensajes infectados con el propio gusano adjunto, y de acuerdo a la fecha del sistema (hora y día), ejecuta algunas rutinas (payloads).

Cuando se ejecuta, el gusano se copia a la carpeta del sistema (C:\Windows\System por defecto), con alguno de estos nombres, seleccionado al azar:

C:\Windows\System\Play.exe
C:\Windows\System\Bigs as.exe
C:\Windows\System\Zorro.exe
C:\Windows\System\Honey.exe
C:\Windows\System\Jefes.exe
C:\Windows\System\Corte de pelo.exe
C:\Windows\System\Tangas.exe
C:\Windows\System\Canibal.exe
C:\Windows\System\Picadita.exe
C:\Windows\System\Josefina.exe

Luego, agrega a la siguiente clave del registro el nombre y ubicación elegidos:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Scorpion = [uno de los nombres y caminos de la lista]

El gusano se envía a si mismo adjunto a los mensajes con uno de los nombres anteriores, y con el Asunto y el texto del mensaje seleccionados al azar combinando algún par de estas variantes:

Asunto: Sorpresa !!!
Asunto: Este si que es un buen presente
Asunto: Diviertanse
Asunto: Todo debe estar limpio
Asunto: Echale un ojo a esto
Asunto: Buena PECHOnalidad
Asunto: Con todo mi aprecio
Asunto: El aguijon de Scorpion
Asunto: Traseros
Asunto: Mujeres

Texto: Abrelo sin miedo que, no es ningun Virus
Texto: No tiene ningun Virus
Texto: Abrelo no hay PELIGRO, esta limpio de Virus
Texto: Mira que bueno esta esto
Texto: Espero que esto te guste
Texto: Scorpion hace de las suyas
Texto: Esto si esta interesante abrelo que no hay peligro
Texto: Dime si te gusto
Texto: No tiene Virus, asi que abranlo y disfrutenlo
Texto: Observa el gran poder de las mujeres en su parte trasera

Para enviar estos mensajes infectados, el gusano se conecta a un servidor SMTP tomado de la configuración de la computadora infectada (su proveedor de correo por ejemplo).

La dirección de correo de la víctima es obtenida del archivo WAB (Windows Address Book), la libreta de direcciones de Windows usada por Outlook Express y otros programas.

Además de este tipo de envío, cada cierto tiempo también se envían mensajes a algunas de estas direcciones:

jajachistes@topica.com
tavojaja@yahoogroups.com
cartones@egroups.com
pensamientos@egroups.com
huateque@egroups.com
jacastro@geoline.net
forodelphi2000@yahoo.com.ar

El gusano envía sus mensajes en forma inmediata luego del primer reinicio de Windows, y más tarde de acuerdo a contadores de tiempo internos.

Las rutinas maliciosas del gusano, le permiten buscar y borrar todos los archivos del sistema con estas extensiones: *.INF y *.SYS.

Esto borra archivos de instalación de la mayoría de los drivers usados por Windows, causando la mayoría de las veces el mal funcionamiento del sistema, o su total caída.

A partir del actual mes (setiembre), desde el día 15, el virus se manifiesta a si mismo a través de algunos efectos de video.

El gusano crea o modifica también, estas entradas del registro:

HKEY_LOCAL_MACHINE\Software\Scorpion\Help
Mail = Negro
Fack = Rojo

Para su uso interno, estas entradas significan que los mensajes han sido enviados, y que los archivos .SYS y .INF han sido borrados.

Dependiendo de otros contadores internos de tiempo, el gusano puede realizar algunas de estas acciones:

  • Cerrar todas las aplicaciones activas de Windows
  • Abrir o cerrar la bandeja del CD
  • Hacer parpadear las luces de NUM-LOCK, CAPS-LOCK y SCROLL-LOCK
  • Desplegar 500 mensajes con este texto:

    Scorpion ya está aquí !!!!

Para limpiar su PC

Si su PC se infecta, ejecute uno o más antivirus al día, y luego borre los archivos detectados como "Scorpion".

Borre luego con REGEDIT (Inicio, Ejecutar, Regedit y Enter), la clave "Scorpion" de la siguiente rama (pinche en la carpeta "Run" y borre la entrada "Scorpion" en la ventana de la derecha):

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

Fuente: Kaspersky Antivirus
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS