|
Miércoles 1 de noviembre de 2000
Nombre: VBS/777-B
Tipo: Gusano de Visual Basic Script (VBS)
Es una variante del gusano VBS/777. A diferencia de aquel (que poseía una rutina maliciosa que no funcionaba), esta variante tiene código del VBS/LoveLetter agregado.
El gusano llega en un mensaje con estas características:
Asunto:
I HATE YOU
Cuerpo del mensaje:
kindly check the attached GOODBYE NEWSGROUPS coming from
me.
Archivo adjunto:
MY-FAREWELL-2-NEWSGROUPS.TXT.VBS
Note la doble extensión. Esto lo hace pasar por un inocente archivo TXT (Vea
en "Especial sobre el
Loveletter", el tema "Habilitar la opción para poder ver las extensiones verdaderas de los
archivos").
Debido a que el virus arriba en un archivo VBS, el mismo requiere tener habilitado el "Windows Scripting Host (WSH)" para poder funcionar. Vea en nuestro sitio
"Deshabilitar el Windows Scripting Host en nuestro
PC".
Crea luego un archivo HTM que permite propagar el virus, y un script de mIRC (programa de chat), con el que podría propagarse en los canales de chat a los que entre el usuario infectado.
El virus revisa la carpeta de descarga del Internet Explorer, por la presencia del archivo WinFAT32.exe. Si este archivo no existe, el virus selecciona al azar uno de cuatro sitios, y modifica el registro para poner el elegido, como página de inicio. La dirección apunta a un archivo EXE llamado, WIN-BUGSFIX.exe, el cuál es descargado, y luego el registro de Windows es modificado para que este EXE sea ejecutado en el próximo reinicio del PC. Este archivo es detectado como Troj/LoveLet-A por la mayoría de los antivirus actualizados.
La página de inicio del Internet Explorer es puesta luego con el valor "página en blanco".
El virus se copia a si mismo en dos lugares, dentro del directorio del sistema, donde será ejecutado cada vez que la computadora se reinicie.
Para que funcione la opción de reenviarse vía correo electrónico, se requiere tener instalado el Microsoft Outlook. En este caso, el gusano intentará enviarse a cada contacto existente en la libreta de direcciones.
El virus busca por todas las unidades de disco locales y de red, archivos con las extensiones VBS, VBE, JS, JSE, CSS, WSH, SCT y HTA. Estos archivos serán sobrescritos por el virus, y luego renombrados todos como archivos *.VBS (Ej: ARCHIVO.CSS quedará como ARCHIVO.VBS).
Cualquier archivo JPG o JPEG será sobrescrito, pero se le agrega .VBS como segunda extensión (Ej: ARCHIVO.JPG quedará como ARCHIVO.JPG.VBS).
Cualquier archivo MP2 o MP3 será convertido a oculto (atributo H), y se creará uno del mismo nombre con la extensión .VBS agregada.
Si el virus detecta el mIRC instalado en el PC, genera un script que le permitirá enviarse a si mismo a través del IRC.
Los archivos infectados deberán borrarse.
Si se tiene deshabilitado el Windows Scripting
Host, no existen posibilidades que este virus se propague.
Fuente: Sophos Anti-Virus.
|
|