VSantivirus No. 424 - Año 5 - Miércoles 5 de setiembre de 2001
Nombre: HERCOLUBUS.Vbs
Tipo: Gusano
Origen: Perú
Fecha: 4/set/01
[Descripción realizada por Jorge Machado de Per Antivirus http://www.persystems.com
(Lima-Perú) y tomada con permiso de su autor]
HERCOLUBUS.Vbs es un gusano reportado el 04 de Septiembre
de 2001 en el Perú, su código viral está escrito en lenguaje MS Visual Basic Script e infecta sistemas Windows de 32 bits (95/98/Me/NT/2000) y Windows XP.
Este gusano ha sido creado inspirándose en el libro llamado
"Hercolubus o Planeta Rojo" http://www.hercolubus.net
del autor V.M. Rabolú, en el que se describe una catástrofe mundial debido al acercamiento de este planeta a la tierra.
"Hercolubus, también llamado "Planeta Rojo", es un planeta gigantesco varias veces mayor que Júpiter que se está aproximando rápidamente a nuestro sistema solar. El acercamiento de Hercolubus a la Tierra será el principio del fin de la humanidad. La enorme atracción gravitatoria de este Planeta Rojo provocará multitud de erupciones volcánicas, terremotos, maremotos, etc., en nuestro planeta, que se irán haciendo cada vez más frecuentes e intensos hasta concluir con el fin del mundo. Esto no es una ficción sino un hecho real que pronto se hará evidente".
El gusano se propaga a través de mensajes de correo electrónico vía Internet, con un archivo anexado denominado Mensaje_Cosmico.vbs haciendo uso de las funciones de las librerías
MAPI (Messaging Application Programming Interface). Una vez que un sistema es infectado, HERCOLUBUS se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en este mensaje de correo:
Asunto: MENSAJE COSMICO
Texto:
Este es un mensaje muy importante, sólo para la conciencia...
Archivo adjunto: Mensaje_Cosmico.vbs
Cuando el archivo Mensaje_Cosmico.vbs es ejecutado por primera vez se muestra la siguiente caja de diálogo:
VBScript: MENSAJE COSMICO
YA DEBES SABER QUE HERCOLUBUS, EL PLANETA ROJO DEL SISTEMA SOLAR TYLA, SE APROXIMA A LA TIERRA.
NO HABRA ESCAPATORIA
[ OK ]
Luego se auto-copia 2 veces en el directorio
C:\WINDOWS\SYSTEM, con los nombres de THWIN.vbs y
Mensaje_Cosmico.vbs.
El gusano incluye 2 rutinas destructivas o payload que se ejecutan en forma aleatoria. Una de ellas borra todos los archivos con las siguientes extensiones:
xls
doc
wav
dwg
mp3
bak
wav
bmp
htm
hlp
chm
jpg
gif
scr
ttf
mid
cdr
La segunda rutina es de mayor peligrosidad ya que borra todos los archivos del sistema con las siguientes extensiones:
sys
dll
ocx
Para finalmente FORMATEAR el disco duro, después de haber agregado la siguiente instrucción en el archivo
C:\AUTOEXEC.BAT:
FORMAT C: /u /v:HERCOLUBUS /autotest
Luego modifica el registro de Windows para que el archivo sea ejecutado la próxima vez que se reinicie la PC:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
THWIN = C:\WINDOWS\SYSTEM\THWIN.vbs
También se propaga mediante disquetes A:\Hercolubus.zip.vbs, ocultándose bajo la extensión
ZIP, simulando ser un archivo comprimido e invitando al usuario a hacer doble clic sobre el mismo.
(c) Jorge Machado
PER ANTIVIRUS
http://www.persystems.com
Lima-Perú
(c) Video Soft - http://www.videosoft.net.uy
|