ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.VBS.Cuerpo

Clase Email-Worm
Plataforma VBS
Descripción

Detalles técnicos

Este gusano de Internet infecta la computadora con Windows 9x e Internet Explorer 5.0 instalados sin la revisión Scriptlet.TypeLib (MS99-032). El gusano se propaga a través del correo electrónico al enviar mensajes infectados desde las computadoras afectadas. Mientras se propaga, el gusano usa MS Outlook y se envía a todas las direcciones que están almacenadas en la libreta de direcciones de MS Outlook. El gusano también tiene un método alternativo de propagación que no usa Outlook en absoluto.

El gusano llega a una computadora como un mensaje de correo electrónico en formato HTML. El tema del mensaje puede variar. El cuerpo del mensaje no tiene texto visible pero contiene un script que es el gusano en sí mismo.

En el momento en que se abre o muestra el mensaje en el panel de vista previa, se activa el script y se ejecuta el código del gusano. En este momento, la advertencia de ActiveX puede aparecer en la pantalla:

Un control ActiveX en esta página puede no ser seguro para interactuar con otras partes
de la página. ¿Quieres permitir esta interacción?
[SI NO]

Elegir [NO] no permitirá que el gusano se ejecute.

Al ser activado, el gusano suelta algunos archivos que son partes del gusano, obtiene acceso a Outlook y se propaga utilizándolo, luego busca en el disco duro de la computadora las direcciones de correo electrónico, las recopila y utiliza en una rutina de propagación alternativa.

Componer mensaje infectado para enviar, el gusano seleccionando el tema de uno de los mensajes existentes de la Bandeja de entrada de Outlook. El gusano también adjunta un archivo HTML con código de gusano. El nombre de archivo es el nombre de uno de los archivos adjuntos existentes en la bandeja de entrada con "(9 Kbytes) .vbs agregados". Por lo tanto, el mensaje infectado contiene el código del gusano dos veces: en el cuerpo HTML del mensaje y en el archivo adjunto.

El gusano se agrega a todos los archivos de firmas utilizados por MS Outlook. Esto significa que cada mensaje compuesto en formato HTML contendrá el código del gusano.

El gusano reemplaza la página de inicio de Internet Explorer con una en blanco. Cuatro días después de la infección, el gusano reemplaza la página de inicio nuevamente con una URL que apunta a "http://www.freedonation.com".

El gusano tiene un método de propagación alternativo que no usa Outlook en absoluto. Esta rutina busca en el disco duro local archivos con las extensiones "txt", "na2", "wab", "mbx", "dbx" y "dat" (estas son extensiones habituales para bases de datos de correo) y luego busca y recopila e- direcciones de correo en estos archivos. Las direcciones recopiladas luego se publicaron (usando un formulario HTML) en el sitio web del autor del gusano. Una secuencia de comandos especial en ese sitio envía mensajes infectados directamente desde el sitio a cada dirección recibida. Dichos mensajes tienen la misma dirección en los campos "Desde" y "Hasta" y contienen solo cuerpo HTML con código de gusano dentro. Este método alternativo de propagación no funcionará tan pronto como se cierre el sitio del autor del gusano.


Enlace al original