ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.JS.Gigger

Clase Email-Worm
Plataforma JS
Descripción

Detalles técnicos

Este es un gusano peligroso Se replica utilizando Outlook, Outlook Express y mIRC. El gusano está escrito en JavaScript y Visual Basic Script (VBS). Contiene rutinas destructivas de carga útil que pueden formatear el disco duro del usuario después del reinicio, y puede eliminar todos los archivos en todos los discos disponibles.

Instalación

Durante la instalación en el sistema, el gusano crea varios archivos:

C: Bla.hta
C: B.htm
C: WindowsSamplesWshCharts.js
C: WindowsHelpMmsn_offline.htm

Luego el gusano encuentra su signo "ya infectado" en el registro, y si no existe, el gusano lo crea.

El signo de presencia de infección se encuentra en la siguiente clave de registro:

HKEY_CURRENT_USERSoftwarethegravebadusersv2.0

El gusano encuentra todas las unidades de red conectadas y se copia a ellas en la siguiente ubicación:

WindowsStart MenuProgramsStartUpMsoe.hta

Difundir por correo electrónico

El gusano usa Outlook y Outlook Express para propagarse en mensajes de correo electrónico infectados.

El mensaje infectado contiene las siguientes propiedades:

Asunto : actualización de Outlook Express
Cuerpo : MSNSoftware Co.
Adjunto : mmsn_offline.htm

El gusano también envía un mensaje que contiene las direcciones de correo electrónico de sus destinatarios a una dirección de correo electrónico, que parece pertenecer al autor del gusano.

Difundir vía IRC

El gusano encuentra la carpeta de instalación de una aplicación de cliente mIRC y crea allí el nombre de archivo "script.ini". Después de esto, el gusano se envía a cada usuario que se une al mismo canal de IRC donde está el usuario infectado.

Nombre de archivo enviado a través de mIRC: "mmsn_offline.htm"

Carga útil

El gusano agrega la siguiente línea en el archivo Autoexec.bat:

ECHO y | formato c:

Esto da como resultado el formateo del disco C: al reiniciar la computadora.

Si el día del mes es el 1, 5, 10, 15 o 20, el gusano borrará todos los archivos de todas las unidades.


Enlace al original