Domingo 9 de julio de 2000
Nombre: VBS/Pica
Tipo: Gusano
Alias: VBS/Pica.A.
Variantes: VBS/Pica.B, VBS/Pica.C, VBS/Pica.D y VBS/Pica.E.
Este es otro de los tantos gusanos que se reenvían automáticamente utilizando el Outlook, enviándose a todos los contactos de la libreta de direcciones, y también vía mIRC.
El gusano llega al sistema en un e-mail como el descripto a continuación:
Asunto: "Hi check This..."
Cuerpo: "Hello..your Game is Over..By Q from Lee"
Archivo adjunto: "OSTERHASE.VBS"
Si en el sistema infectado se encuentra instalado el mIRC o mIRC32 este cambiará el archivo "script.ini" para poder enviarse también vía IRC.
El virus también hará una copia del mismo la cual la envía al directorio "c:\windows\system" con el nombre de "ds9.vbs", además creará una entrada al registro de configuraciones para que cada vez que windows se inicie este archivo sea nuevamente ejecutado. La entrada al registro es la siguiente:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Lee
Si el virus se auto envía exitosamente por medio del Outlook y del mIRC no se harán modificaciones en el registro, pero si no logra hacer esta operación seteará como valor "1" dos valores del registro. Esto lo hará hasta que pueda enviarse por ambos medios.
VBS/Pica.B
El gusano llega al sistema en un e-mail como el descripto a continuación:
Asunto: "Ncc1701e"
Cuerpo: "Hi, this is Ncc1701e speaking to all Borg's in the
Galaxy..! You must die..Assimilation to all Terranien
Guys..."
Archivo adjunto: "PICARD.VBS"
Esta variante del gusano no utiliza mIRC para reenviarse.
El virus también hará una copia del mismo la cual la envía al directorio "c:\windows\system" con el nombre de "Picard.vbs", además creará una entrada al registro de configuraciones para que cada vez que windows se inicie este archivo sea nuevamente ejecutado. La entrada al registro es la siguiente:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\StartTrek
Si el virus se auto envía exitosamente por medio del Outlook no se harán modificaciones en el registro, pero si no logra hacer esta operación seteará como valor "1" en un valor del registro. Esto lo hará hasta que pueda enviarse vía Outlook.
VBS/Pica.C
Igual que las anteriores, difieren en el mensaje que envía, el cual tiene la siguiente información:
Asunto: "Mail from: Osterhase@Ostern.de"
Cuerpo: "Hello.. Check This! This is our death.."
Seguido de un texto en Alemán con instrucciones para mandar mensajes por Telnet.
Archivo adjunto: "OSTERHASE.VBS"
y en que se guarda una copia de si mismo en el directorio C:\Programme\Defcon5.
VBS/Pica.D
Similar a las anteriores, no se reproduce utilizando el mIRC. Se distribuye en un mensaje como el siguiente:
Asunto: "Mail from: Lee@Buxtehude.de"
Cuerpo: "The Best Firewall under Windows is...> BlackIce."
Seguido de algún mensaje en Alemán.
Archivo adjunto: "INDEPENDANCE DAY.VBS"
y guarda una copia de si mismo en \Windows\System32.
VBS/Pica.E
Similar a las anteriores, no se reproduce utilizando el mIRC. Se distribuye en un mensaje como el siguiente:
Asunto: "Ncc1701e"
Cuerpo: "Hi, this is Ncc1701e speaking to all Borg's in the
Galaxy..! You must die..Assimilation to all Terranien
Guys..."
Archivo adjunto: "SILLYWORM.VBS"
y guarda una copia de si mismo en \Windows\System.
La versión A del virus puede desinfectarse manualmente eliminando la entrada al registro antes mencionada:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Lee
luego deben reiniciar el sistema y por último eliminar el mensaje en que ha llegado el virus como también el archivo "ds9.vbs" que se encuentra en el directorio "c:\windows\system".
La versión B del virus puede desinfectarse manualmente eliminando la entrada al registro antes mencionada:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\StartTrek
luego deben reiniciar el sistema y por último eliminar el mensaje en que ha llegado el virus como también el archivo "Picard.vbs" que se encuentra en el directorio "c:\windows\system"
Las otras versiones pueden eliminarse de manera similar.
Fuente: Virus Attack! - http://www.virusattack.com.ar
|
