Este gusano de Internet se propaga únicamente a través del Microsoft Outlook, enviándose a si mismo a todas las direcciones de la libreta del Outlook y Outlook Express, como un archivo adjunto a un mensaje infectado.

Su código está escrito en Visual Basic Script, con la utilidad "VBS Worm Generator 2" (VBSWG), y se encuentra encriptado (Ver VSantivirus No. 249 - Año 5 - Miércoles 14 de marzo de 2001, VBS.Vbswg2.gen. Nueva versión del generador de gusanos).

Luego del envío masivo de correo, el gusano intenta abrir sitios pornográficos, usando el Internet Explorer.

El mensaje recibido con el virus tiene estas características:

Asunto: Homepage
Texto: Hi! You've got to see this page! It's really cool ;O)
Archivo adjunto: HOMEPAGE.HTML.VBS

El gusano, requiere que el sistema a infectar tenga instalado el Windows Scripting Host (WSH). Además, en un Windows instalado por defecto, la doble extensión (.HTML.VBS) quedará oculta, mostrándose entonces como HOMEPAGE.HTML.

Cuando el usuario abre el adjunto (doble clic sobre él), el gusano se copia en el directorio temporal de Windows:

C:\Windows\temp\homepage.HTML.vbs

Luego, examina la existencia de la siguiente clave del registro:

HKCU\Software\An\Mailed

Si la entrada tiene el valor 1 (uno), significa que el gusano ya se ha enviado a todos los contactos de la libreta de direcciones, y no lo vuelve a hacer. De lo contrario (o si no existe la clave), el virus se envía en un mensaje similar al recibido anteriormente a todas las direcciones de la libreta. Luego de ello, la clave es creada y puesta a 1.

Si el sistema no tiene instalado el MS Outlook, el gusano no funcionará, ya que para poder propagarse, utiliza una falla de seguridad conocida.

Luego del envío del mensaje infectado, el virus intenta abrir alguno de los siguientes sitios pornográficos con el Internet Explorer (seleccionando uno al azar):

http://hardcore.pornbillboard.net/shannon/1.htm
http://members.nbci.com/_XMCM/prinzje/1.htm
http://www2.sexcropolis.com/amateur/sheila/1.htm
http://sheila.issexy.tv/1.htm

Luego, el gusano examina la carpeta de "Elementos enviados" y "Elementos eliminados" del Outlook y Outlook Express, y borra todos los mensajes cuyo "Asunto:" contenga la palabra "Homepage", en un intento para no ser detectado.

Si usted recibe este mensaje, simplemente bórrelo y luego borre la carpeta de Elementos eliminados.

Para eliminar el gusano de un sistema infectado, ejecute un antivirus al día. Para limpiar el registro, puede utilizar esta herramienta de Aladdin Knowledge Systems:

ftp://ftp.esafe.com/pub/utils/homepage_vbs_clean.exe (364 Kb)

Para deshabilitar el Windows Scripting Host y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS

Datos recogidos en la tarde del 9 de mayo de 2001, indican que este virus se ha propagado en algunos países un poco más rápidamente que el Kournikova.

Fuentes: Sophos, Trend Micro, Symantec


Ver también:
14/mar/01 - VBS.Vbswg2.gen. Nueva versión del generador de gusanos
18/feb/01 - Vbswg.gen. Generador de gusanos de Visual Basic Scripts
15/feb/01 - AnnaKournikova: ¿fracaso de la comunidad antivirus?
13/feb/01 - VBS/SST-A (Anna Kournikova). Nueva versión del LoveLetter
12/feb/01 - San Valentín y los virus. Consejos para todo el año
17/dic/00 - Cinco dudas sobre el correo electrónico y los virus
02/dic/00 - ¿Extensiones de Archivo? ¿Y eso qué es?
26/nov/00 - Pautas generales para mantenerse alejado de los virus
10/nov/00 - La primera línea de defensa contra los virus: USTED