Para:
CC:
CCO: [destinatario]
Asunto: New Year !

Texto:
Wow Happy New Year !

Archivo adjunto: happynewyear.txt.vbs (puede cambiar).

Windows ocultará la segunda extensión, mostrando el enlace como "HAPPYNEWYEAR.TXT", con lo que la mayoría pensará se trata de un inocente archivo de texto (para que Windows visualice todas las extensiones, debemos ir a Inicio, Configuración, Opciones de carpetas en Windows 98, o en cualquier menú Ver de Windows 95, en Opciones --u Opciones de carpetas--, y en la opción Ver, DESMARCAR la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar).

Cuando el virus se instala, libera un caballo de Troya, creando el ejecutable 3K.EXE en el directorio C:\WINDOWS, el cuál intentará bajar otro archivo (TEEN.EXE) desde varios sitios de Internet. 3K.EXE es un archivo de unos 9 Kb, y consiste en el código encriptado del troyano.

Este caballo de Troya será detectado por la mayoría de los antivirus como "BackDoor-FB.svr.gen", "Bck/Psychward.g", "Troj/Downloader", "Serbian.Trojan" o "W95/Loader Trojan".

Este troyano se ha estado distribuyendo en algunos newsgroups (alt-sex, etc.), con el nombre de QUICKFLICK.MPG.EXE. La doble extensión, también podría engañar al usuario, haciéndolo creer se trate de un video .MPG.

Cuando este Trojan se ejecuta, intentará descargar y ejecutar en forma silenciosa otro programa desde algunos sitios Web. Este programa es una copia del troyano Troj/Subseven.

El troyano emplea, como ya vimos, varias técnicas de encriptación, que intentan proteger el código original de miradas indiscretas. Pero todas las copias del gusano serán iguales.

Luego de esto, el gusano intentará reenviarse a través del Outlook a todos los usuarios de la libreta de direcciones.

El virus no funciona si no se tiene instalado el Windows Scripting Host (vea "Deshabilitar el Windows Scripting Host en nuestro PC").

Fuentes: Sophos, McAfee, Panda Software.


Ver también:
03/dic/00 - Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)