|
VSantivirus No. 327 - Año 5 - Jueves 31 de mayo de 2001
Nombre: VBS/NastySarah@m (Nasara)
Tipo: Gusano de Visual Basic Script
Fecha: 28/may/01
Alias: VBS/Nasara.A@mm
Gusano de envío masivo de correo electrónico, que utiliza para propagarse diversas aplicaciones
MAPI, Microsoft Outlook, Outlook Express o el Internet Information Server (IIS).
Posee una rutina destructiva que modifica el archivo AUTOEXEC.BAT para borrar el contenido de la unidad de disco duro
C:. Esta rutina actúa el 31 de mayo.
Para enviarse por correo, responde mensajes ya recibidos. Como novedad, incluso si el destinatario responde este mensaje infectado (seguramente preguntando si usted le mandó el mensaje o no), el virus lo intercepta y lo responde por su cuenta.
Es de suponer que esta rutina de engaño pueda ser menos efectiva en entornos en español, debido a que los mensajes enviados están en inglés. Algunos de estos mensajes son básicamente insultos hacia Sarah Gordon.
El mensaje infectado llega con un adjunto llamado NASTYSARAH.JPG.VBS, una supuesta imagen
(.JPG) cuya segunda extensión (.VBS, la verdadera, un ejecutable de Visual Basic Script) puede quedar oculta (ver
"Información complementaria").
Cuando se ejecuta este adjunto (doble clic sobre él), el gusano busca alguna aplicación
MAPI instalada (los clientes de correo de Microsoft, tales como el Outlook, Outlook Express y Microsoft Exchange, etc., están basados en MAPI).
Si no encuentra alguna aplicación MAPI (1), intenta propagarse usando herramientas de los servidores NT (si la PC infectada se está ejecutando en este entorno), en concreto utiliza
Collaboration Data Objects for NT Server (CDONTS), de los servicios
SMTP (2) instalados con los servidores
IIS 4 o superiores.
Si no encuentra ninguna de estas opciones disponibles, intentará usar directamente el
Outlook u Outlook Express. Si por alguna razón no encontrara nada de esto en la PC infectada, el gusano mostrará el siguiente mensaje y luego de ello terminará su acción:
Hey! Haven't you heard! There's a VBS worm spreading by
this very filename! You're lucky you didn't get hit!
Forward this warning on to all of your contacts, so they
won't get hit by the bug!
Si el gusano detecta alguno de los programas mencionados, procederá a borrar cualquier e-mail que contenga la palabra
"NASTYSARAH" en la línea Asunto del mensaje. Luego, se propagará automáticamente respondiendo mensajes ya recibidos por usted, haciéndolo con este formato:
Mensaje:
Hey! Thanks for your mail! I've been kind of busy lately,
and haven't really had time to do a full reply, so, until
I do, check this out.
Regards,
[Nombre del usuario infectado]
[Copia del mensaje que se está ejecutando]
Archivo adjunto: NastySarah.jpg.vbs
Si el destinatario responde este mensaje, el virus enviará una respuesta automática:
Mensaje:
Trust me, the JPG's safe. Yes, I did send it.
Regards,
[Nombre del usuario infectado]
(Traducción: Confía en mi, el archivo JPG es seguro. Si, yo te lo mandé).
El día 31 de mayo, el virus modifica el archivo C:\AUTOEXEC.BAT para agregar las instrucciones necesarias que borrarán todo el contenido de la unidad de disco C la próxima vez que Windows se reinicie (solo Windows 95 y 98).
Luego, mostrará este mensaje:
Have you ever heard of that fat, ugly bitch Sarah Gordon?
She claims to be 'discovering what drives us', but really,
she just pisses us off! In honor of Sarah Gordon, fat
bitch of the high seas!
VBS/NastySarah@m is Copyright (C), FileSystemObject 2001.
Para borrar este gusano de un sistema infectado, ejecute dos o más antivirus al día, y borre los archivos identificados como infectados.
Información complementaria
Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:
- En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
- En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
- En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.
Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción
"Ocultar extensiones para los tipos de archivos
conocidos" o similar. También MARQUE la opción
"Mostrar todos los archivos y carpetas ocultos" o similar.
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
Glosario:
(1) MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.
(2) SMTP (Simple Mail Transport Protocol). Protocolo simple de transferencia de correo. Es el protocolo más utilizado en Internet para el envío de correo electrónico.
Fuente: Symantec
(c) Video Soft - http://www.videosoft.net.uy
|
|