|
VSantivirus No. 223 - Año 5 - Viernes 16 de febrero de 2001
Nombre: VBS.Satanik.Child
Tipo: Gusano de Visual Basic Script
Alias: Satanik
Se trata de código insertado en un mensaje con formato HTML.
La infección se produce al abrir dicho mensaje, en cualquier lector de correo que soporte formato HTML, o tan solo viéndolo en el panel de vista previa (Outlook, Outlook Express). No requiere ser abierto ningún archivo adjunto para poder causar la infección.
Existen al menos dos mensajes diferentes, ambos con fondo rojo, y texto con grandes letras, conteniendo lo siguiente:
Asunto: for my sweetheart
Texto:
I wanna fuck you like an animal!
Asunto: I picked this one especially for you my = Sweetheart!
Texto:
Just for you, Kimmy
Cuando se ejecuta (requiere tener habilitado el Windows Scripting Host, el cuál se recomienda deshabilitar), el gusano crea los archivos
EXPLORER32.VBS y EXPLORER.VBS en C:\WINDOWS\SYSTEM.
El gusano, modifica luego el registro de Windows, agregando los archivos
EXPLORER32.VBS y EXPLORER.VBS a las siguientes entradas:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Esto hace que el virus se ejecute al reiniciarse Windows.
También modifica el archivo AUTOEXEC.BAT, de modo que cuando la computadora bootea, se busca en el disco duro antivirus como McAfee, Norton, y F-Secure, y los elimina del mismo.
Luego, muestra una ventana DOS con este texto:
SATANIK CHILD S A T A N I K C H I L D S A T A N I K = C H I L D
A virus by Satanik Child has been detected!
=
Windows is destroyed! (c)SC
Pero Windows no es destruido, y puede ser reiniciado sin problemas.
Luego, el virus busca el software para chats, mIRC, y si está instalado, infecta los archivos del mIRC,
mirc.ini y script.ini. Con estos cambios, el gusano se enviará a otros usuarios cada vez que se conecte a los salones de chat.
Después de ello, el gusano se enviará a todos los contactos de la libreta de direcciones.
También busca en el disco duro, archivos con estas extensiones:
vbs
vbe
mp3
mp2
wav
txt
doc
log
bmp
gif
jpg
fla
js
html
swf
htm
wmf
png
avi
mid
zip
rar
pif
pdf
Creará entonces una copia de si mismo, y con el mismo nombre de los archivos encontrados, pero agregándole la extensión
.VBS
Ejemplo: Si existe FIGURA.JPG se genera una copia del virus con el nombre
FIGURA.JPG.VBS
También agrega una nueva asociación de archivos, a la extensión
.DMK, asignándola a los archivos .VBS. De ese modo un archivo llamado
EJEMPLO.DMK se ejecutará como si fuera EJEMPLO.VBS.
Creará una carpeta WINDOWS\SYSTEM\MSAPP, y una copia de si mismo con el nombre
SATANIK.DMK. Esto último se repetirá en el raiz de cualquier disco duro del sistema.
Finalmente, modificará el registro para que cada vez que Windows se inicie, el navegador apunte a una determinada página Web en Internet. Luego de ello, el gusano reiniciará a Windows.
Para desactivar el Windows Scripting Host, vaya al Panel de Control (Mi PC, Panel de Control), Agregar o quitar programas, Instalación de Windows, Accesorios, pinche en Detalles, y desmarque "Windows Scripting Host". Reinicie su PC. Si usa Windows Me, utilice otras opciones, como el
NOSCRIPT.EXE de Symantec.
Fuente: Aladdin Knowledge Systems
Vea también:
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS
23/ene/01 - VBS_Lovelettr.Bg. Variante del Loveletter
24/ene/01 - Html_Satanik.A. Versión HTML del Lovetter.BG
03/mar/01 - Html_Satanik.B. Sobrescribe muchos formatos conocidos
|
|