VSantivirus No. 234 - Año 5 - Martes 27 de febrero de 2001
Nombre: VBS/Fujimori
Tipo: Gusano de Visual Basic Script
Alias: VBS/Cas1618.b, VBS/Telefonos.b.
Fecha de descubrimiento: 26/feb/01
Gravedad: Baja
Origen: Argentina
Virus Attack! ha reportado la existencia de un nuevo gusano de Internet, presumiblemente de los mismos autores del
VBS/Telefonos (ver VSantivirus No. 227 - Año 5 - Martes 20 de febrero de 2001,
"Teléfonos de famosos", destructivo virus de origen
argentino).
En este caso, el virus intenta reproducirse por correo electrónico como una noticia acerca del ex-presidente peruano, Alberto Fujimori.
El gusano puede ser recibido en un mensaje como el siguiente:
De: Cronica Web <cronicaweb@cronica.com.ar>
Para: Cronica Web <cronicaweb@cronica.com.ar>
Asunto: SE SUICIDO FUJIMORI !
Texto:
La trágica desición del ex hombre fuerte del Perú conmueve al mundo entero. Toda la informacion y fotos exclusivas en la página web adjunta.
Archivo adjunto: FUJIMORI.HTM
Si el archivo adjunto es ejecutado, se abrirá a pantalla completa una página HTML, con un encabezado como el siguiente:
Último momento:
¡FUJIMORI SE SUICIDÓ!
[ VER FOTOGRAFIAS ]
Para ver las imágenes, CRÓNICA WEB utiliza la tecnología ACTIVE-X ™ de MICROSOFT.
Su sistema podría requerir la autorización correspondiente. Acéptela.
Crónica Web © 2001 García Multimedios & CAS1618 Group
Sí el botón [VER FOTOGRAFIAS] es presionado, un mensaje como el siguiente es mostrado al usuario por el sistema, advirtiéndole que se está intentando ejecutar elementos peligrosos:
Internet Explorer
Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?
[ Si ] [ No ]
Si el usuario presiona [NO], el gusano terminará su ejecución sin infectar el sistema; si elige la opción
[SI], una serie de mensajes es mostrada al usuario:
"¡ EXCLUSIVO CRONICA WEB !"
"¡ FUJIMORI SE SUICIDÓ EN LAS ISLAS FUJI !"
"¡ FOTOS EXCLUSIVAS DEL CADAVER DE FUJIMORI !"
"SU EX ESPOSA, CONMOCIONADA, NO PUDO EMITIR PALABRAS."
"¡ Por eso no hizo declaraciones !"
"¡ FUJIMORI DEJO UNA CONMOVEDORA CARTA !"
"Pero como esta en japonés, no podemos decirles nada..."
"¡ LO ESTAMOS INVESTIGANDO !"
y luego se mostrará en forma indefinida el siguiente mensaje para que el usuario crea que se trata de un error del sistema e intente reiniciar el mismo:
Windows Error CAS1618 AntiSpam Detected
WINDOWS ERROR AT MODULE 0E:CAS1618-2001ACTKKWIN98PLUS
Entonces, el gusano intentará copiarse al directorio de inicio del sistema, tanto en las versiones en inglés como en español del sistema operativo, bajo el nombre de
Start_ICQ.vbs, y si no encuentra el directorio Inicio
o Startup, se copiará en el directorio \Windows bajo el mismo nombre. Aparte, también copiará un archivo
FOTOS_FUJIMORI_MUERTO_HOY.JPG.vbs en el directorio \Windows.
Al reiniciar el equipo, el archivo Start_ICQ.vbs se ejecutará, y chequeará si ya se ha enviado, revisando una entrada en el registro:
HKEY_CURRENT_USER\Software\Microsoft\WAB\
{cantidad de usuarios en la libreta de direcciones}
Sí no se ha enviado, intentará enviarse a todos los usuarios en la libreta de direcciones, en un mensaje como el siguiente [errores ortográficos incluidos]:
De: {Usuario infectado}
Asunto: SE SUICIDÓ FUJIMORI !
Texto:
La trágica desición del ex mandatario peruano conmocionó al mundo entero.
Cronica TV se enorgullece una vez más de ser pionera en avances tecnológicos. Antes de inaugurar su portal en la web, informa primero y mejor !
Crónica Web utiliza la tecnología ACTIVE-X de MICROSOFT, para poder ver el material adjunto, por favor, autorize este control cuando su sistema lo requiera.
Copyright 2001 by Garcia Multimedios & the CAS1618 Group.
Muchas gracias por elegirnos!
Archivo adjunto: FOTOS_FUJIMORI_MUERTO_HOY.JPG.vbs
Si el archivo adjunto es ejecutado, se lanzará nuevamente la rutina de reenvío por correo electrónico de este mensaje.
Parece ser que el primer ejemplo que recibimos ha sido enviado en forma manual a nosotros
[Virus Attack!], dado que el mismo no se reproduce de la misma manera en que fue recibido éste.
[Ver Nota 1]
El gusano no ejecuta ninguna otra acción y parece haber sido desarrollado por el mismo grupo que el
VBS/Telefonos, recientemente descubierto.
Se recomienda a los usuarios desactivar el Windows Scripting Host para evitar la acción de virus de este tipo [Ver: VSantivirus No. 231 - Año 5 - Sábado 24 de febrero de 2001,
Algunas recomendaciones sobre los virus escritos en
VBS].
Fuente y redacción: Virus Attack! (http://www.virusattack.com.ar)
[Nota 1]
VBS.Cas1618 (Teléfonos de famosos), también llegó a Video Soft en mismas las condiciones conque Virus Attack! reporta el "Fujimori".
Ver también:
20/feb/01 - VBS.Cas1618
(Teléfonos de famosos), destructivo virus argentino
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS
|