Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: Worm.Hermes. Utiliza el Outlook para propagarse
 
VSantivirus No. 191 - Año 5 - Lunes 15 de enero de 2001

Nombre: Worm.Hermes
Tipo: Gusano de e-mail
Tamaño: 20 Kb aprox. (comprimido)

Se trata de un gusano que se propaga a través del correo electrónico, usando para ello el Outlook de Microsoft.

El worm en si mismo es un ejecutable de unos 20 Kb de largo comprimido (descomprimido ocupa unos 60 Kb), escrito en Visual Basic.

Para conectarse al Outlook, utiliza las funciones MAPI de Windows.

De la libreta de direcciones, toma los contactos a los que se enviará, en mensajes que poseen estas características:

Asunto: Re:
Texto: [Nombre del remitente]
Archivo adjunto: [seleccionado al azar]

El [Nombre del remitente] es el mismo que aparece en el nombre de la cuenta actual del usuario infectado.

El nombre del archivo adjunto, es tomado al azar desde las siguientes variantes:

Seti@home 3.x to 4.0 upd.exe
Seti@home_twk.exe
Seti_patch.exe
Lunetic!.exe
CIH.exe
Energy.exe
ftip.exe
Navidat.exe
Click_ME!.exe
Cenik.exe
Lunetic.scr
fucking.scr
micro$haft.scr
matrix.scr
reboot.scr
Pamela.scr
techno.scr
funny!.scr
Hermes.scr
School_in_da_flame.scr

Cuando se ejecuta, el gusano despliega una ventana con el símbolo de error (la cruz blanca sobre un círculo rojo) y este mensaje:

_ i-Worm.Hermes _

Code by: gl

[   OK   ]

Al pulsar en el botón de [ OK ], sale el siguiente mensaje, simulando un error por falta de memoria, y con algunas indicaciones para obtener más memoria libre. Todo ello es solo para disimular su actividad:

HERMES
This program requires more conventional memory
Unload drivers or memory-resident programs that use conventional
memory, or increase the value for Minimum Conventional Memory in
the program's Memory properities sheet.

[   OK   ]

Luego, el gusano se conectará con la dirección "http://www.seznam.cz", pero no hará absolutamente nada allí.

También intentará modificar y crear algunas claves del registro, pero falla debido a un error en su código.

Fuente: AVP

 

Copyright 1996-2001 Video Soft BBS