| |
VSantivirus No. 553 - Año 6 - Sábado 12 de enero de 2002
W32/Spester. Simula ser un juego para probar el mouse
Nombre: W32/Spester
Tipo: Gusano de Internet
Alias: W32/Spester@MM
Tamaño: 9,334 (ZIP), 19,968 (EXE)
Fecha: 11/ene/02
Fuente: McAfee
Este virus utiliza un .VBS (Visual Basic Script), que es detectado por casi todos los antivirus como
VBS/Generic o similar.
El otro archivo involucrado, SCRIPT.INI, es detectado como infectado con el virus
MIRC/Generic.
Este gusano de envío masivo, también puede propagarse a través del chat (IRC).
Simula ser un juego que mide la velocidad del ratón, y puede llegarnos en un mensaje con estas características:
Asunto: game: Speed tester v. 1.0 - check your mouse skills
Texto:
Hello,
How good are your mouse movement skills? Wanna test it?
If yes try game Speed tester v.1.0. (you have it in (attachment).
It's really funny.
Software requirements:
- Windows operating system
- Java Virtual Machine
regards
Adjunto: spdtest.zip
El archivo .ZIP lleva un ejecutable (.EXE) que crea un archivo
.INI y otro .VBS. Este último es el responsable del envío masivo del mensaje con el adjunto
SPDTEST.ZIP.
Para infectarse, se requiere que se abra el adjunto, y luego se extraigan a una carpeta los ejecutables y archivos correspondientes.
Al ejecutarse este archivo, aparece un juego totalmente operativo, que consiste en pulsar rápidamente con su ratón en determinados lugares, solo que los botones no se dejan pulsar.
Finalmente, un gran botón que no se mueve se despliega, dando lugar a la última etapa del juego.
Una vez pulsado dicho botón, una serie de mensajes relacionados con este juego se despliegan, incluido uno que solo simula estar formateando el disco C: (esta acción no la lleva a cabo el virus en ningún momento).
Luego de unos segundos, otro mensaje aparecerá para decirnos que ningún formateo ha sido realizado.
El virus crea un archivo en Visual Basic Scripting que usa para propagarse:
c:\Program Files\Internet Explorer\oneclock.vbs
Este script se encarga de enviar el virus a todos los usuarios de la libreta del Outlook utilizando MAPI.
El script posee también otras rutinas que se ejecutan según la fecha.
En cada décimo día del mes, se muestra una ventana donde se lee:
"Tip Of The Day: You look really beautiful today."
El día 25, el mensaje se envía a una sola persona.
El 31, se crean una serie de directorios:
51 son creados como "C:\1o", "C:\1oo", "C:\1ooo", etc.
91 como "C:\2n", "C:\2nn", "C:\2nnn", etc.
131 directorios son creados como: "C:\3e", "C:\3ee", "C:\3eee", y un solo mensaje a un solo destinatario.
El 12 de setiembre un mensaje con el saludo de "Happy
Birthday!!!" es enviado.
Se genera también un indicador que le permite saber al gusano si los mensajes han sido enviados:
c:\Program Files\Common Files\one.dat
El C:\mIRC\SCRIPT.INI, el archivo de control del mIRC, es sobrescrito con las instrucciones necesarias para reenviar el mensaje infectado a través del IRC
(C:\MIRC\SPDTEST.ZIP).
El virus crea los siguientes archivos en una máquina infectada:
c:\mIRC\script.ini
c:\mIRC\spdtest.zip
c:\Program Files\Common Files\one.dat
c:\Program Files\Internet Explorer\oneclock.vbs
c:\Program Files\Internet Explorer\spdtest.zip
Cómo borrar manualmente el virus
Para borrar manualmente el gusano, reinicie y borre los archivos mencionados antes.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
