Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: I-Worm.Timofonica
 
Lunes 5 de junio de 2000

Nombre: I-Worm.Timofonica

Un nuevo gusano de Internet que se propaga vía e-mail, ha sido detectado en las últimas horas. Utiliza para ello el Outlook (98 y 2000), y se envía a si mismo a todos los contactos guardados en la libreta de direcciones de dicho programa. Esto puede ocasionar una gran cantidad de mensajes, con los consiguientes problemas de tráfico de los servidores de correo, además de los peligros de la propia infección por supuesto.

Por otra parte, el hecho que en este caso sea una variante creada en España, y por lo tanto en español, aumenta considerablemente el peligro para todos los usuarios hispanohablantes.

El gusano está escrito en el lenguaje de scripts de "Visual Basic Script" (VBS). Solo funciona en computadoras que tengan instalado el Windows Scripting Host (WSH), al igual que la serie LoveLetter y similares. En Windows 98 y 2000 el WSH está instalado por defecto.

Para propagarse, el gusano accede al Outlook y utiliza sus funciones y su libreta de direcciones. Estas funciones están disponibles únicamente en el Outlook 98/2000, por lo que el virus puede propagarse solamente si se está usando el Outlook 98 o 2000.

Cuando se ejecuta, el worm envía sus copias y descarga (drop) un trojan destructivo en la máquina infectada.

El mensaje con el que llega a nuestro PC, contiene un archivo adjunto, que es el gusano propiamente dicho.

Esta son las características de dicho mensaje:

Asunto: TIMOFONICA
Archivo adjunto: TIMOFONICA.TXT.vbs
Cuerpo del mensaje (errores gramaticales y de sintaxis incluidos):

Es de todos ya conocido el monopolio de Telefónica pero
no tan conocido los métodos que utiliza para llegar
hasta este punto. En el documento adjunto existen
opiniones, pruebas y direcciones web con más información
que demuestran irregularidades en compras de materiales,
facturas sin proveedores, stock irreal, etc. También
habla de las extorsiones y favoritismos a empresarios
tanto nacionales como internacionales. Explica también
el por qué del fracaso en Holanda y qué hizo para
adquirir el portal Lycos. En las direcciones web del
documento existen temas relacionados para que echéis un
vistazo a los comentarios, informes, documentos, etc.
Como comprenderéis, esto es muy importante, y os ruego
que reenviéis este correo a vuestros amigos y conocidos.

Note la doble extensión que utiliza el archivo adjunto para ocultar el hecho que en realidad es un ejecutable de Visual Basic Script (VBS) y no un TXT. Para desactivar esta opción debemos ir a Inicio, Configuración, Opciones de carpetas en Windows 98, o en cualquier menú Ver de Windows 95, en Opciones (u Opciones de carpetas), y en la opción Ver, DESMARCAR la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

Si usted tiene esa opción activa (por defecto), verá como nombre del archivo un "TIMOFONICA.TXT", haciéndolo creer inocente.

Pero si pulsa sobre él, ejecutará el archivo .VBS, y entonces el virus abrirá el Outlook (98/2000), accederá a su libreta de direcciones, y enviará un mensaje idéntico al recibido, a cada uno de sus contactos, con el mismo gusano adjunto a cada uno de ellos.

Adicionalmente, con cada envío de un mensaje infectado, el virus enviará otros mensajes a una dirección generada al azar (numérica), al host "correo.movistar.net", por ejemplo: "639867159@correo.movistar.net".

Dicho mensaje tendrá esta forma:

Asunto: TIMOFONICA
Cuerpo del mensaje (errores gramaticales y de sintaxis incluidos): 

informa que: Telefónica te est¡ engaáando.

Dicho host es un Gateway (puerta de acceso entre dos servicios telemáticos que permite acceder a uno de ellos desde el otro) que reenvía mensajes SMS a números telefónicos, cuyo prefijo es el número generado al azar por el virus.

Como resultado de esto, el gusano originará una gran cantidad de SPAM telefónico (correo basura no solicitado). En otras palabras a tantos números telefónicos (generados al azar), como contactos existan en nuestra libreta de direcciones. Eso debemos multiplicarlo por los contactos de la libreta de cada usuario infectado.

Para instalar su caballo de Troya, el worm genera un archivo llamado "Cmos.com" en el directorio del sistema de Windows (\Windows\System) y escribe su código (el cuál es guardado en el cuerpo del propio virus), dentro de ese archivo. Luego modifica el registro de Windows para que dicho trojan se ejecute con cada inicio de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Cmos = Cmos.com

Este trojan, borrará la información del Bios CMOS (información utilizada por la computadora en su arranque, algo similar a lo que realiza el virus CIH), y corromperá la información de todos los discos locales.

Además de esto, el gusano creará un archivo llamado "C:\TIMOFONICA.TXT" con el siguiente texto (errores gramaticales y de sintaxis incluidos):

  Comentarios
  ===========

  ....
  Tarifa plana de 6000 pts/mes.
  Extorsión.
  A principio de 1.998 tras un seguimiento de su gestión se descubrieron 
  numerosas irregularidades en su gestión, amparadas hasta el momento, 
  en el desconocimiento que nosotros teníamos sobre Internet.
  Compras de materiales, que nunca apareció por ningún lado, pero si 
  la factura del proveedor.
  ....
  Yo pienso que si Timofonica (ke a fin de kuentas es la dueña de 
  Terra) kiere soltar dineros para una ONG, no le hace falta hacer 
  este tipo de acto solidario, es mas, me parece misero y ridikula la 
  kantidad de un millon de pesetas ..
  Son unos ridikulos de mierda, un millon de pesetas para ellos no es 
  nada, pero un millon de hits en sus paginas mas a final de mes supone 
  una pekeña subidita en las acciones de Terra en Bolsa.
  Total, ke Terra no son las Hermanitas de los Pobres (pobres monjas, 
  kompararlas kon los chupasangres de Timofonica), NI NOSOTROS 
  SEMOS GILIPOLLAS !!!
  Podran decir ke estamos obsesionados, ke tamos en kontra de 
  Timofonika, ke protestamos por vicio, PERO ES KE EN 3 AÑOS KE LLEVO
  EN INET SOLO LA HAN KAGADO UNA VEZ TRAS OTRA !! SI ES KE SE LO 
  GANAN A PULSO !!
  Lo dicho , todo lo ke güele a Telefonica SUX, o en castellano 
  tradicional , APESTA !
  ....

  Direcciones
  ===========

  http://www.telefonica.es/
  http://www.timofonica.com/
  http://100scripts.islaweb.com/scripting-timofonica.html
  http://www.www2.labrujula.net/wwwboard/messages2/1165.html
  http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
  http://area3d.area66.com/forotec/_disc1/0000015b.htm
  http://wwh.itgo.com/Phreaking.htm
  http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
  http://www.areas.org/debate/dp/2/messages/18.html
  http://www.fut.es/mllistes/parlem/January_1999/msg00208.html

  Visita estas páginas. Estás inivitado.

Luego, el virus modifica el registro para que dicho mensaje sea desplegado (en el bloc de notas), cada vez que se ejecute cualquier archivo VBS.

Para restaurar el normal funcionamiento de los archivos .VBS (si usted decide no deshabilitar el WSH), y asociar nuevamente los archivos VBS al WSH, deberá ejecutar el siguiente comando:

WSCRIPT //H:WSCRIPT

Esta información está basada en el análisis del virus realizado por Eugene Kaspersky (AVP Antivirus, http://www.avp.ru).

Ver también:
18/jun/01 - Su celular tiene un mensaje. No responda, es un virus

 

Copyright 1996-2000 Video Soft BBS