VSantivirus No. 397 - Año 5 - Jueves 9 de agosto de 2001
Nombre: VBS/Noon
Tipo: Gusano de Visual Basic Script
Alias: I-Worm.Noon
Tamaño: 5701 bytes
Fecha: 31/jul/01
El gusano Noon, utiliza las funciones MAPI (1) del Outlook y Outlook Express para reenviarse a si mismo a todos los contactos de la libreta de direcciones de la computadora infectada.
Tiene además diferentes formas de reaccionar, de acuerdo al cliente de correo instalado en esa PC.
La primera versión del gusano examinada por el SARC (Symantec AntiVirus Research Center), poseía algunos errores que dificultaban su propagación.
Cuando el gusano se activa, borra el siguiente archivo:
C:\Windows\Rundll32.exe
Solo funciona si la carpeta donde se instaló por defecto Windows es
C:\Windows.
Luego, y de acuerdo al cliente de correo instalado, el gusano hará uno de dos cosas:
Si usted está utilizando como cliente, el Outlook u Outlook Express de Microsoft, el gusano crea copias de si mismo con los siguientes nombres y ubicación:
C:\Wormmie.vbs
C:\Wormmie.bat
C:\Wormmie.ini
C:\Wormmie.pif
C:\Program Files\Wormmie.vbs
C:\My Documents\Wormmie.vbs
Las carpetas "Program Files" y
"My Documents" no existen en las versiones en español de Windows, aunque podrían ser creadas.
El gusano también crea el siguiente archivo en la carpeta de sistema de Windows. Este dato lo toma de la variable
%System%, de modo que no importa la ubicación real de dicha carpeta:
%System%\Wormmie.vbs
En un sistema instalado en la ubicación por defecto, esta carpeta será:
C:\Windows\System\Wormmie.vbs
Este archivo es utilizado por el gusano para enviarse a si mismo a todos los contactos de la libreta de direcciones.
Extrañamente, a medida que el gusano envía sus mensajes, se abre una ventana de diálogo donde se muestra el contacto (dirección de e-mail) al que se está enviando en ese momento.
Luego del envío, el gusano crea la siguiente entrada en el registro de Windows, la cuál es puesta a
"1":
HKEY_CURRENT_USER\software\An\mailed
Si en cambio usted no utiliza Outlook u Outlook Express como programa de correo, el gusano muestra la siguiente serie de ventanas de mensajes:
VBScript: Forward This Email
Please forward this to everyone you know.
[ OK ]
El mensaje pide que enviemos el mensaje (o sea el virus), "en forma manual" a todos los conocidos.
Si la clave de la entrada siguiente del registro es 1:
HKEY_CURRENT_USER\software\An\mailed
entonces el gusano muestra este otro mensaje:
VBScript: Final Message
You already auto send the VIRUS to everyone!!!
[ OK ]
Donde se le avisa al usuario que ya ha enviado el virus a todo el mundo.
Si la clave del registro HKEY_CURRENT_USER\software\An\mailed,
NO ES "1", entonces el gusano muestra la siguiente ventana de mensajes, donde se lamenta por no haber propagado la infección aún, y se le pide al usuario insistir:
VBScript: Error Message
Too bad! Not infected yet! Keep trying...
[ OK ]
Finalmente, el gusano examina la hora del sistema, y si esta es 00:00:00, muestra este mensaje, donde se anuncia la medianoche, y que ha comenzado una pesadilla:
VBScript: Mid-Night
Dong! Dong! Dong! Is already mid-night and I'm your worst
nightmare!
[ OK ]
Si en cambio la hora es 12:00:00, entonces la referencia es al almuerzo, con una invitación para hacerlo juntos:
VBScript: Noon
Is noon and let's have lunch together
[ OK ]
Luego de estas acciones, el gusano abre al azar una de tres páginas de buscadores en la red.
Finalmente, el virus despliega este mensaje:
Wormmie
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie! Wormmie!
Debido a las características del gusano, para eliminarlo manualmente deberá ejecutar uno o dos antivirus al día, borrar los archivos detectados como VBS.Noon o I-Worm.Noon, y reinstalar o recuperar de un soporte limpio, los archivos necesarios.
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
Glosario:
(1) MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.
Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy
|
