|
VSantivirus No. 227 - Año 5 - Martes 20 de febrero de 2001
Virus: VBS/Cas1618 (Teléfonos de famosos)
Alias: Kalamargay, VBS/Telefonos, VBS.Vbswg.L
Tipo: Gusano de Visual Basic Script
Fecha: 20/feb/01
Origen: Argentina
Tamaño: 14,739 bytes
Destructivo: Si
Este virus, es de origen argentino, y en un primer examen, aparenta estar hecho, con la misma utilidad del
"Kournikova", el "Vbswg.gen. Generador de gusanos de Visual Basic
Scripts".
Tiene muchas probabilidades de que se propague ampliamente, ya que su tema alude a teléfonos de famosos personajes de la farándula argentina.
Para ello, utiliza el Microsoft Outlook, y también el
mIRC.
A diferencia de otros similares, este virus tiene la capacidad de borrar algunas carpetas y archivos, e incluso de formatear la unidad
C:\, por lo que su nivel de peligrosidad puede ser alto.
Puede llegar a nuestra casilla con cualquiera de estos asuntos:
"¡Telefono de famosos!", "¡Hablale a un famoso!", "¡LLamá por teléfono a un famoso!", o "Teléfonos
GRATUITOS".
En todos ellos, se incluye el código del propio virus, escrito en Visual Basic Script, en el archivo adjunto:
"telefonos.txt
.vbs"
Si pinchamos sobre este archivo, del que solo veremos la primera parte
(telefonos.txt), ya que entre la extensión .TXT y la verdadera
.VBS existen 207 espacios en blanco, el gusano se copiará a si mismo al disco duro, en más de una ubicación, y con el mismo nombre:
"telefonos.txt
.vbs".
Luego, el gusano desplegará varias ventanas de mensajes con teléfonos de famosos.
También creará un acceso directo "famosos.lnk", que apunta al comando
FORMAT, lo que formateará incondicionalmente el disco
C:, además de cambiarle el nombre a la unidad de disco duro por el de
"CAS1618".
El gusano también es capaz de borrar la carpeta "C:\Mis
Documentos" (o "C:\My Documents", según el caso).
Para enviarse por correo, utiliza las funciones MAPI, creando un objeto
"Outlook.Application". Toma los contactos a los que se envía, de la libreta de direcciones de Windows
(.WAB).
Es capaz de enviar al azar, cualquiera de estos mensajes:
// -- Mensaje 1 -- //
Asunto: "¡Telefono de famosos!"
Texto:
¿Te jugar al tenis o escuchar cantar a GUILLERMO VILAS? 4803-6137 (casa) ¿O que JULIAN WEICH te haga ico caballito? 4865-3332 ¿Y con SUSANA GIMENEZ, MARIXA BALLI, MARÍA ELENA WALSH, MARÍA VAZQUEZ, CARLITOS BALÁ, ANDREA TENUTA, EL PADRE MARIO, EL MONO MARIO, modelos, cantantes, etc. etc.? Los famosos se alejaron de las personas, se hicieron inalcanzables, se sumergieron en la soledad y necesitan tu ayuda. Famosos On Line será un sitio donde los FAMOSOS se harán PUBLICOS. ¿Más teléfonos? Va una muestra en el archivo de texto 'telefonos.txt'. No dejes de hacernos famosos a nosotros, los famosos están en la palma de tu mano. Contale a tus amigos. Muy pronto, FAMOSOS ON-LINE, el sitio donde los famosos se hacen públicos. Muchas gracias y perdón por las molestias.
Archivo adjunto: "telefonos.txt
.vbs"
// -- Mensaje 2 -- //
Asunto:
"¡Hablale a un famoso!"
Texto:
VICENTICO (4861-7504) podría autografiarte alguno de los CD de los fabulosos. O tomar un mate con HUGO MOYANO en la CGT (4392-1728). Jugar un partido con VILAS (4803-6137), saludar a JULIAN WEICH (4865-3332) ¿Y a DEBORA DEL CORRAL, CHELO, HORACIO CABAK, ALEJANDRA PRADÓN, modelos, cantantes, etc. etc.? Va una muestra en el archivo de texto 'telefonos.txt'. No dejes de hacernos famosos a nosotros, los famosos están en la palma de tu mano. Contale a tus amigos. Muy pronto, FAMOSOS ON-LINE, el sitio donde los famosos se hacen públicos. Muchas gracias y perdón por las molestias.
Archivo adjunto: "telefonos.txt
.vbs"
// -- Mensaje 3 -- //
Asunto:
"¡LLamá por teléfono a un famoso!"
Texto:
JULIAN WEICH se llevará una Sorpresa y Media si lo llamás al 4865-3332. Marcando el 4962-3092 podés hablar con SUSANA TORRADO. O marcando el 4811-3789 podés hablar con CHINA ZORRILLA. ¿Quien es el famoso al que querés llamar? Va una muestra en el archivo de texto 'telefonos.txt'. No dejes de hacernos famosos a nosotros, los famosos están en la palma de tu mano. Contale a tus amigos. Muy pronto, FAMOSOS ON-LINE, el sitio donde los famosos se hacen públicos. Muchas gracias y perdón por las molestias.
Archivo adjunto: "telefonos.txt
.vbs"
// -- Mensaje 4 -- //
Asunto:
"Teléfonos GRATUITOS"
Texto:
Marcá 4357-2358 y pedile a SENDRA (el autor de YO MATIAS) nuevos chistes. O dale una Sorpresa y Media a JULIAN WEICH en su propia casa al 4865-3332 ¿Y te gustaría hablar con MORIA CASAN (o la hija), GRACIELA ALFANO, HORACIO CABAK, SERGIO GOYCOCHEA, etc...? Va una muestra en el archivo de texto 'telefonos.txt'. No dejes de hacernos famosos a nosotros, los famosos están en la palma de tu mano. Contale a tus amigos. Muy pronto, FAMOSOS ON-LINE, el sitio donde los famosos se hacen públicos. Muchas gracias y perdón por las molestias.
Archivo adjunto: "telefonos.txt
.vbs"
// -- -- //
También es capaz de renombrar (o copiar), todos los archivos con extensión
js, jse, css, wsh, sct, hta, agregándole la extensión
.vbs.
También borra los archivos .jpg, .jpeg luego de copiarlos como
.jpg.vbs.
Los archivos .mp3 y .mp2 también son copiados como .mp3.vbs.
Busca los archivos "mirc32.exe", "mlink32.exe", "mirc.ini", "script.ini", o
"mirc.hlp", y si los encuentra (lo que significaría que en ese PC está instalado el
mIRC), crea un script para enviarse a través de los canales de chat.
El script comienza con estas líneas:
[script]
;mIRC Script
;CAS1618 (Comando Anti Spam 1618)
;Guerra a todos los que usan el parrafo III del inexistente
decreto S.1618 yanqui para justificar la práctica del SPAM."
;Señores: ni aún aprobado el decreto pueden escudarse tras
el: la ley yanqui no es nuestra ley."
;by CAS1618-2"
;http://www.mirc.com"
Cuando el usuario se conecta a un canal de chat, el archivo
"telefonos.txt
.vbs" es enviado a otros participantes del mismo.
El código del virus contiene este texto:
by CAS1618 (Comando Anti Spam 1618)
=== Guerra a todos los que usan el parrafo III del inexistente decreto S.1618 yanqui para justificar la práctica del SPAM ===
=== Señores: ni aún aprobado el decreto pueden escudarse tras el: la ley yanqui no es nuestra ley ===
===
=== Estas empresas hacen SPAM, usan bases de datos ilegales y se refugian bajo el falso decreto S.1618:
[sigue una lista de empresas]
Examen preliminar: Video Soft
Recomendaciones:
Deshabilite el Windows Scripting Host (WSH). Esta característica puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus como el descripto (y muchos otros). Estos no podrán ejecutarse sin el WSH. Para desactivarlo, vaya al Panel de Control (Mi PC, Panel de Control), Agregar o quitar programas, Instalación de Windows, Accesorios, pinche en Detalles, y desmarque "Windows Scripting Host". Reinicie su PC. Si usa Windows Me, utilice otras opciones, como el
NOSCRIPT.EXE de Symantec
Ver también:
01/mar/01 - VBS/Cas1618.c. Teléfonos de famosos versión internacional
27/feb/01 - Sobre el VBS/Telefonos y el VBS/Fujimori
27/feb/01 - VBS/Fujimori. Una falsa noticia que esconde un virus
21/feb/01 - VBSWG.N. Se esconde en el supuesto video de una cerveza
18/feb/01 - Vbswg.gen. Generador de gusanos de Visual Basic Scripts
18/feb/01 - VBS.Vbswg.K. Variante del "Anna Kournikova"
15/feb/01 - AnnaKournikova: ¿fracaso de la comunidad antivirus?
13/feb/01 - VBS/SST-A
(Anna Kournikova). Nueva versión del LoveLetter
|
|