Domingo 9 de julio de 2000
Nombre: VBS/COD
Tipo: Trojan, VBS Script
Alias: Crayon of Doom, LIST.VBS, PORNLIST.DOC
Se trata de un gusano de Internet escrito en VBScrips, y contenido en un documento Word (como objeto OLE). El gusano llega en un e-mail o a través del IRC, desde un usuario infectado. El nombre del archivo es: "PORNLIST.DOC".
El virus requiere el Windows Scripting Host (WSH) para ejecutarse.
El mensaje recibido es este:
Asunto:
"Hey whats up, Important!"
Texto:
"Hey I attatched a list for you to this e-mail take a look at it and tell me what you think."
Archivo adjunto:
"C:\PORNLIST.DOC"
Este adjunto es un documento de Word, conteniendo el script llamado "LIST.VBS", que se presenta en dicho documento con este texto:
Double click me to view my picture
Please view my nude picture and e-mail me back if you think that I am good enough to pose for my webpage.
email: sexygirl18@hotmail.com
El icono debajo de la sugerencia del "doble clic", es el de un archivo de imagen .GIF, pero el objeto no es una imagen, sino un archivo .VBS (Visual Basic Script).
Si pinchamos sobre este objeto (doble clic), y el Windows Scripting Host (WSH) está activo (vea
aquí como deshabilitarlo), se ejecutará el virus, escribiendo sus archivos en el sistema y enviándose a si mismo a todos los contactos de todas las libretas de direcciones a través de un correo electrónico (MAPI). También buscará una versión instalada del cliente de chat "mIRC" (en "C:\MIRC") o de "Pirch98" (en "C:\PIRCH98"). Si los encuentra, modificará el script de estas aplicaciones para distribuirse a si mismo cuando se conecte a cualquier canal de IRC.
El gusano se copia a si mismo al disco duro local, con estos nombres:
[temp]\list.vbs
WINDOWS\cod.cod
WINDOWS\list.vbs
WINDOWS\winsck.vbs
WINDOWS\SYSTEM\explorer.vbs
WINDOWS\SYSTEM\list.vbs
También busca todas las unidades mapeadas de una red, y copia los archivos PORNLIST.DOC y LIST.VBS al directorio raiz de las computadoras en red.
El gusano revisa luego la siguiente clave del registro:
HKCU\Software\Microsoft\Windows\CurrentVersion
Sent? = [valor]
Si [valor] está vacío (null), el virus ejecuta su rutina de e-mail, y luego coloca como [valor] un "1". La rutina de e-mail envía un mensaje infectado como se menciona arriba, y también envía mensajes separados en este formato:
Destinatario: "ilikerolls@aol.com"
Asunto: "I am screwed"
Texto: "I am infected with the crayon of doom virus!"
Archivo adjunto: "C:\PORNLIST.DOC"
El gusano modifica el registro y los archivos de configuración WIN.INI y SYSTEM.INI, para poder ejecutarse al reiniciarse Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ScanRegistry = WINDOWS\list.vbs
HKLM\Software\Microsoft\Windows\CurrentVersion\
Run = WINDOWS\SYSTEM\list.vbs
HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices = [temp]\list.vbs
Modificaciones del archivo WIN.INI:
[windows]
run = WINDOWS\winsck.vbs
Modificaciones del archivo SYSTEM.INI:
[boot]
shell = Explorer.exe explorer.vbs
Si los programas mIRC o PIRCH98 existen, el virus modifica sus scripts para distribuir el archivo "C:\PORNLIST.DOC" a los canales de IRC cuando se ingresa a ellos. También modifica el SCRIPT.INI del mIRC para permitir la recepción de los archivos con las extensiones: *.exe, *.com, *.bat, *.dll, *.ini y *.vbs.
El gusano posee una rutina de auto chequeo, para verificar que ninguno de los archivos creados no hayan sido removidos, y si han sido borrados, los vuelve a crear. También el registro es chequeado y se verifica que las claves agregadas no hayan sido quitadas o modificadas.
El virus contiene esta línea de comentario en su código, la que nunca es visualizada:
'Crayon Of Doom Virus By crayolarx
|