|
VSantivirus No. 174 - Año 4 - Viernes 29 de diciembre de 2000
Nombre: VBS.Sorry.A
Variantes: VBS/TTFloader.A, VBS/Pica.worm.gen
Tipo: Gusano de Visual Basic Script
Tamaño: 10,178 bytes
Fecha: 20/dic/00
VBS.Sorry.A es un gusano de Visual Basic Script capaz de copiarse a si mismo a múltiples directorios del disco duro local y de unidades de red. También genera archivos de configuración del programa de chat
"mIRC" para conectarse con computadoras infectadas por el troyano
SubSeven, en las cuáles es capaz a su vez de copiarse y ejecutarse.
Además, puede borrar archivos y carpetas de la computadora infectada.
Uno de los posibles síntomas de la infección que el usuario podrá apreciar es la lentitud de su máquina cuando el virus está activo.
Para propagarse se copia a si mismo a cada una de las unidades de red compartidas (si éstas existieran), con los nombres de
SNDLOAD.VBS, TTFLOAD.VBS, o con uno tomado al azar.
Cuando el gusano se ejecuta, primero chequea si la computadora ya está infectada. Si el virus encuentra otras copias de si mismo las borrará. Además, borrará también otros archivos, pertenecientes a algunos virus:
network.vbs
msfg.vbs
winsock.vbs
a24.vbs
mscfg.exe
ashield.pif
netstat.pif
Luego de ello, el virus se copia en C:\WINDOWS\FONTS\TTFLOAD.VBS
Si el gusano no se ejecutó desde el directorio de inicio de Windows, o si su nombre no es
TTFLOAD.VBS, entonces se borrará a si mismo, y desplegará la siguiente ventana de error:
VBScript: ERROR
FILE I/O ERROR
[ Aceptar ]
Luego de ello intentará ejecutar el archivo
TTFLOAD.VBS de la carpeta FONTS.
El gusano realizará estos cambios en el registro de Windows:
(1)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ttfload = wscript.exe C:\Windows\fonts\ttfload.vbs
(2)
HKCU\Software\Microsoft\Windows Scripting Host\Settings
Timeout = 0
(3)
HKLM\Software\Microsoft\Internet Explorer\Main
Start = http://www.zonelabs.com/
Esto hará que el virus se cargue al reiniciarse Windows
(1); que no salgan advertencias de tiempo expirado en las conexiones de red
(2); y que la página de inicio del Internet Explorer apunte al sitio Web oficial de Zone Alarm
(3).
Después de esto, el gusano buscará en todas las unidades de disco locales y de red, donde copiarse. Si la unidad es un disco duro o un disco RAM, entonces buscará el directorio del
mIRC, para crear en él un archivo SCRIPT.INI modificado.
Luego se copiará a si mismo en la carpeta WINDOWS\FONTS con el nombre de
SNDLOAD.VBS.
Si el gusano encuentra directorios cuyos nombres contengan las cadenas siguientes, entonces se copiará en ellos con un nombre al azar:
pub
ftproot
wwwroot
my
download
upload
share
game
warez
El nombre al azar es generado a partir de la lista de documentos recientemente usados, agregándosele espacios, además de la extensión .VBS.
Por ejemplo, si README.TXT aparece en la lista de documentos abiertos recientemente (Inicio, Documentos), el gusano usará este nombre:
README.TXT .VBS
Además, si el virus encuentra directorios con estos nombres, borrará la carpeta entera:
chode
foreskin
d_ckhair
Si la unidad de disco es removible (ZIP driver o unidad de disquete por ejemplo) o una unidad de red mapeada, el gusano se copia a esa unidad usando la misma rutina ya vista para generar su nombre al azar.
También buscará en dichas unidades, directorios de inicio de Windows (en Windows en español esta carpeta es
C:\WINDOWS\Menú Inicio\Programas\Inicio), copiándose allí con el nombre de
SNDLOAD.VBS.
También se copiará (con nombres al azar creados de la misma forma que los anteriores), en cualquier carpeta que posea estos nombres:
share
download
downloads
Luego, el gusano buscará recursos compartidos en redes que cumplan ciertos requisitos. Para ello creará un archivo temporal conteniendo direcciones IP generadas al azar. Luego, seleccionará también al azar una de estas subredes:
24.*.*.*
172.128.*.*
152.163-175.*.*
205.163.*.*
4.30-45.*.*
151.196-206.*.*
63.194-207.*.*
216.76-79.*.*
3-243.*.*
Por cada dirección IP, el gusano mandará un PING a la misma, para determinar si esta responde.
El gusano obtendrá también la lista de todos los recursos compartidos en la computadora y en las unidades de red mapeadas.
Si la búsqueda encuentra una carpeta de inicio de Windows, se copiará allí como
SNDLOAD.VBS.
Si encuentra las carpetas "share", "download", o
"downloads", se copiará allí con un nombre al azar con el mismo procedimiento visto antes.
Finalmente, el gusano removerá la unidad de red.
Si el usuario tiene instalado el mIRC, y es infectado, el gusano intentará rastrear otras computadoras infectadas con el troyano
SubSeven. Si las localiza, se conectará a ellas, y se copiará a si mismo en esas computadoras.
Para eliminarlo manualmente, borre todos los archivos detectados como infectados por un antivirus al día, y borre o cambie las líneas del registro modificadas.
Fuente: Symantec
Ver también:
19/dic/00 - VBS/TTFloader.A. Convierte su PC en un servidor
Además:
04/dic/99 - Trojan: SubSeven 2.1
03/dic/00 - Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
12/dic/00 - Trojan: Pillapass. Simula
ser un robador de contraseñas
21/dic/00 - Troj_Sub7.401315. Otra variante del troyano SubSeven
23/dic/00 - Troj_Sub7drpr.B. "Dropper" de Troj_Sub7.401315
04/ene/01 - Troj_Sub7.Muie. Captura las conexiones del ICQ, MSN, etc.
11/mar/01 - Trojan.SubSeven.2.2. Ultima versión del peligroso troyano
|
|