Email-Worm.VBS.Challenge

Detalles técnicos

Este gusano se propaga utilizando MS Outlook Express 5. Se agrega a cada mensaje enviado desde una computadora infectada. El gusano no se adhiere a los mensajes como lo hacen los gusanos comunes, sino que inserta su cuerpo en un mensaje como un programa de scripts en el lenguaje de scripts de Visual Basic. Cuando se abre un mensaje infectado en la computadora de la víctima, este programa no aparece en la pantalla, sino que gana control e infecta el sistema.

Para superar la seguridad de MS Outlook Express, el gusano aprovecha una vulnerabilidad de seguridad que permite el código de script en el acceso de mensajes de correo electrónico basados ​​en HTML a controles ActiveX que no deberían estar disponibles en este contexto. Microsoft ha lanzado un parche que elimina esta vulnerabilidad de seguridad. Consulte http://www.microsoft.com/technet/securThisy/bulletin/MS00-075.asp para obtener más información. Recomendamos enfáticamente que el usuario instale el parche disponible allí, protegiéndolo de muchos gusanos de script que usan esta vulnerabilidad.

El gusano infecta la computadora en dos pasos:

El primer paso es cuando se muestra un mensaje infectado y un programa de script incorporado obtiene el control. Esto crea un archivo TEMP.HTA con la copia del gusano en una carpeta de inicio de Windows. (Este gusano es más preciso para encontrar una carpeta de inicio de Windows. Su método funciona en todas las versiones de Windows, como en I-Worm.KakWorm).

El segundo paso, dado que el archivo TEMP.HTA se coloca en la carpeta de inicio de Windows, es que Windows lo ejecuta al inicio. El script en este archivo se crea en el archivo de carpeta del sistema de Windows FOLDER.HTML con el mismo script que estaba en el mensaje infectado, y luego registra este archivo como un archivo de firma predeterminado para MS Outlook Express 5. A partir de este momento, todos los mensajes enviados desde una computadora contiene una firma con el cuerpo del gusano, es decir, infectado.