|
VSantivirus No. 236 - Año 5 - Jueves 1 de marzo de 2001
Virus: VBS/Cas1618.c (Teléfonos de famosos 2)
Tipo: Gusano de Visual Basic Script
Alias: VBS/Telefonos.c, Números Mágicos, magic.txt, Kalamargay.c
Fecha: 1/mar/01
Origen: Argentina
Tamaño: 16,071 bytes
Destructivo: Si
Reportado activo (In-The-Wild): No
Se trata de una versión "internacional" del VBS.cas1618, sin mayores variantes que sus textos en diferentes idiomas, y la capacidad de borrar la carpeta
"Mis documentos" en las versiones de Windows en español, inglés, portugués, alemán, italiano y francés.
Aunque no está "in-the-wild" al momento de esta descripción, su tema sigue siendo un potente gancho para que de propagarse, pueda llegar a numerosos usuarios (Ver: VSantivirus No. 234 - Año 5 - Martes 27 de febrero de 2001,
Sobre el VBS/Telefonos y el
VBS/Fujimori).
Este gusano puede difundirse utilizando el correo electrónico y el programa de chat
mIRC. También muestra un gran número de mensajes en pantalla y crea un archivo capaz de formatear la unidad
C:, además de sustituir archivos con determinadas extensiones reduciendo su tamaño a 0 bytes, lo que los hace imposible de recuperar sin acudir a un respaldo.
Podría llegar a nuestras casillas en la forma de cualquiera de estos seis mensajes:
// -- Mensaje 1 -- //
Asunto: ¡Tus Números Mágicos!
Texto:
: Mira el archivo adjunto en este email y te sorprenderás.
¡Los números mágicos están aquí y son tuyos!
Escribiendo tu propia fecha de nacimiento y nombres.
Y luego haciendo lo mismo con los datos que te interesen.
¡Sí, es mágico!
¡Comparte esto con tus amigos! =)
Archivo adjunto: magic.txt
.vbs
// -- Mensaje 2 -- //
Asunto: The Magic Numbers!
Texto:
:
Look at the enclosed file in this email and it will be surprised .
The magic numbers are here and they are yours!
You should write your own date of birth and names.
And to make the same thing with the data that interest you .
Yeah, it's magic!
Share this with your friends ! =)
Archivo adjunto:
magic.txt
.vbs
// -- Mensaje 3 -- //
Asunto: Überrascht Werden!
Texto:
:
Schauen Sie die eingeschlossen Akte in diesem E-mail an, und es wird überrascht werden.
Die magischen Zahlen sind hier, und sie sind Ihres!
Sie sollten Ihr eigenes Geburtsdatum und Ihre Namen schreiben.
Und um die gleiche Sache mit den Fakten zu machen, die es Sie interessieren.
Ja, es ist magisch! "
Archivo adjunto:
magic.txt
.vbs
// -- Mensaje 4 -- //
Asunto: Numeri Magici
Texto:
:
Guardi all'archivio incluso in questo email e lui sarà sorpreso.
I numeri magici sono qui e loro sono i Suoi!
Lei scriverebbe la Sua propria data di nascita e nomi.
E fare la stessa cosa coi dati che l'interessano.
Sì, è magico!
Condivida questo coi Suoi amici! =)
Archivo adjunto:
magic.txt
.vbs
// -- Mensaje 5 -- //
Asunto: Nombres Magicies
Texto:
:
Regardez le dossier clos dans cet email et il sera surpris.
Les nombres magiques sont ici et ils sont les vôtres!
Vous devriez écrire votre propre date de naissance et noms.
Et faire la même chose avec le données qui vous intéresse.
Partagez ceci avec vos amis! =)
Ouais, c'est magique!
Archivo adjunto:
magic.txt
.vbs
// -- Mensaje 6 -- //
Asunto: Números Mágicos
Texto:
:
Olhe o arquivo incluso neste email e será surpreendido.
Os números mágicos estão aqui e eles são seus!
Você deveria escrever sua própria data de nascimento e nomes.
E fazer a mesma coisa com os dados que o interessam.
Yeah, é mágico!
Compartilhe isto com seus amigos! =)
Archivo adjunto:
magic.txt
.vbs
// -- -- //
En todos ellos, se incluye el código del propio virus, escrito en Visual Basic Script, en el archivo adjunto:
"magic.txt
.vbs"
Si pinchamos sobre este archivo, del que solo veremos la primera parte
(magic.txt), ya que entre la extensión .TXT y la verdadera
.VBS existen 207 espacios en blanco, el gusano se copiará a si mismo al disco duro, en más de una ubicación, y con el mismo nombre:
magic.txt
.vbs".
Luego, el gusano desplegará varias ventanas de mensajes con teléfonos de famosos, similares a los del
VBS/Telefonos, pero con textos en inglés y el título
"MAGIC phone NUMBERS ON SCREEN".
También creará un acceso directo "magicnumbers.lnk" en la carpeta de inicio del sistema, que apunta al comando
FORMAT, lo que formateará incondicionalmente el disco C: al reiniciarse Windows, además de cambiarle el nombre a la unidad de disco duro por el de
"CAS1618".
El gusano también es capaz de borrar la carpeta "C:\Mis
Documentos" (o "C:\My Documents",
"C:\Meus Documentos", "C:\Meine
Dokumente", "C:\Miei Documenti",
"C:\Mes Documents", según el caso).
Para enviarse por correo, utiliza las funciones MAPI, creando un objeto
"Outlook.Application". Toma los contactos a los que se envía (los mensajes descriptos anteriormente), de la libreta de direcciones de Windows
(.WAB).
Luego, el gusano cambiará los archivos con extensiones js, jse, css, wsh, sct, hta, agregándole la extensión
.vbs, y dejándolos de 0 bytes.
También borra los archivos .jpg, .jpeg luego de copiarlos como
.jpg.vbs.
Los archivos .mp3 y .mp2 también son copiados como
.mp3.vbs, manteniendo los originales su contenido, pero con los atributos de ocultos
(+H).
Busca luego los archivos "mirc32.exe", "mlink32.exe", "mirc.ini", "script.ini",
o "mirc.hlp", y si los encuentra (lo que significaría que en ese PC está instalado el mIRC), crea un script para enviarse a través de los canales de chat.
El script comienza con estas líneas:
[script]
;mIRC Script
;CAS1618 (Comando Anti Spam 1618)
;Guerra a todos los que usan el parrafo III del inexistente
decreto S.1618 yanqui para justificar la práctica del SPAM.
;Señores: ni aún aprobado el decreto pueden escudarse tras
el: la ley yanqui no es nuestra ley.
;by CAS1618-Globalizado!
;http://www.mirc.com
Cuando el usuario se conecta a un canal de chat, el archivo
"magic.txt
.vbs" es enviado a otros participantes del mismo.
El código del virus contiene este texto:
by CAS1618-Globalizado!
Examen preliminar: Video Soft
Recomendaciones:
Deshabilite el Windows Scripting Host (WSH). Esta característica puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus como el descripto (y muchos otros). Estos no podrán ejecutarse sin el WSH. Para desactivarlo, vaya al Panel de Control (Mi PC, Panel de Control), Agregar o quitar programas, Instalación de Windows, Accesorios, pinche en Detalles, y desmarque "Windows Scripting Host". Reinicie su PC. Si usa Windows Me, utilice otras opciones, como el
NOSCRIPT.EXE de Symantec.
Ver más detalles en:
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS
Ver también:
27/feb/01 - Sobre el VBS/Telefonos y el VBS/Fujimori
27/feb/01 - VBS/Fujimori. Una falsa noticia que esconde un virus
20/feb/01 - VBS.Cas1618
(Teléfonos de famosos), destructivo virus argentino
21/feb/01 - VBSWG.N. Se esconde en el supuesto video de una cerveza
18/feb/01 - Vbswg.gen. Generador de gusanos de Visual Basic Scripts
18/feb/01 - VBS.Vbswg.K. Variante del "Anna Kournikova"
15/feb/01 - AnnaKournikova: ¿fracaso de la comunidad antivirus?
13/feb/01 - VBS/SST-A
(Anna Kournikova). Nueva versión del LoveLetter
|
|