Kaspersky Threats — DragonBall

Clase

Plataforma

Descripción

Detalles técnicos

Este gusano de Internet se propaga a través de mensajes de correo electrónico utilizando MS Outlook e IRC, y está escrito en VBS. El gusano no funciona correctamente, ya que contiene algunos errores fatales.

Cuando se ejecuta la secuencia de comandos, crea auto copias en los directorios del sistema:

C: WindowsWinsock.vbs
C: WindowsSysdir.vbs
C: WindowsSystemmillioner.vbs
C: WindowsSystemDragonBall.vbs
C: WindowsSystemDragonBall.cab

También crea tres scripts en el directorio IRC:

C: mIRCmirc.ini
C: mIRCscript.ini
C: mIRCupdate.ini

Los scripts de IRC son necesarios para propagarse a través del canal de IRC. Como los directorios llamados "C: Windows" y "C: mIRC" se registran en el cuerpo del gusano, no pueden ejecutar estas operaciones si el sistema operativo y el IRC se instalan en diferentes directorios.

Después de esto, el gusano cambia algunas claves en el registro del sistema y el archivo WIN.INI. Esto crea dos claves en el registro:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winsock2.0" = "C: Windows winsock.vbs"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"sysup" = "C: Windows sysdir.vbs"

y cambia el valor de las dos claves en el archivo WIN.INI:

[ventanas]
load = C: WindowsSystemDragonBall.vbs
ejecutar = C: WindowsSystemmillioner.vbs

De esta forma, el gusano siempre se ejecutará cuando se inicie el sistema operativo. Además de esto, el gusano cambia otras dos claves en el registro del sistema

[HKLMSoftwareMicrosoftWindowsCurrentVersion]
"RegisteredOwner" = "Dragon Ball Z por YuP"

[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Página de inicio" = "http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg"

Luego, el gusano activa un procedimiento de propagación, se abre la libreta de direcciones de MS Outlook y, para cada dirección, se crea el siguiente mensaje:

Asunto: Hola;]
Cuerpo: Hola, mira este juego que te envié (juego divertido de la red:]).
Adjuntar: dragonball.vbs

El gusano contiene errores, y este procedimiento no puede funcionar correctamente. Entonces, el gusano no se puede propagar por correo electrónico.

En conclusión, el gusano muestra el siguiente cuadro de diálogo:

Dragon Ball Z por YuP ¡Gracias, y adiós DragonWorld! [ OKAY ]

Cuando un usuario cierra esta casilla, el gusano elimina las funciones del teclado y del mouse, y ejecuta MediaPlayer con un archivo de Internet:

http://bdball.metropoli2000.net/mmedia/videos/clips/dballz/gokuhss1.mpg

y cambia AUTOEXEC.BAT, insertando las cadenas:

@ECHO EN
ECHO DraGon Ball [Z] por YuP
ECHO ¡Gracias y adiós dragón mundo!

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	VBS
Descripción	Detalles técnicos Este gusano de Internet se propaga a través de mensajes de correo electrónico utilizando MS Outlook e IRC, y está escrito en VBS. El gusano no funciona correctamente, ya que contiene algunos errores fatales. Cuando se ejecuta la secuencia de comandos, crea auto copias en los directorios del sistema: C: WindowsWinsock.vbs C: WindowsSysdir.vbs C: WindowsSystemmillioner.vbs C: WindowsSystemDragonBall.vbs C: WindowsSystemDragonBall.cab También crea tres scripts en el directorio IRC: C: mIRCmirc.ini C: mIRCscript.ini C: mIRCupdate.ini Los scripts de IRC son necesarios para propagarse a través del canal de IRC. Como los directorios llamados "C: Windows" y "C: mIRC" se registran en el cuerpo del gusano, no pueden ejecutar estas operaciones si el sistema operativo y el IRC se instalan en diferentes directorios. Después de esto, el gusano cambia algunas claves en el registro del sistema y el archivo WIN.INI. Esto crea dos claves en el registro: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "winsock2.0" = "C: Windows winsock.vbs" [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices] "sysup" = "C: Windows sysdir.vbs" y cambia el valor de las dos claves en el archivo WIN.INI: [ventanas] load = C: WindowsSystemDragonBall.vbs ejecutar = C: WindowsSystemmillioner.vbs De esta forma, el gusano siempre se ejecutará cuando se inicie el sistema operativo. Además de esto, el gusano cambia otras dos claves en el registro del sistema [HKLMSoftwareMicrosoftWindowsCurrentVersion] "RegisteredOwner" = "Dragon Ball Z por YuP" [HKCUSoftwareMicrosoftInternet ExplorerMain] "Página de inicio" = "http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg" Luego, el gusano activa un procedimiento de propagación, se abre la libreta de direcciones de MS Outlook y, para cada dirección, se crea el siguiente mensaje: Asunto: Hola;] Cuerpo: Hola, mira este juego que te envié (juego divertido de la red:]). Adjuntar: dragonball.vbs El gusano contiene errores, y este procedimiento no puede funcionar correctamente. Entonces, el gusano no se puede propagar por correo electrónico. En conclusión, el gusano muestra el siguiente cuadro de diálogo: Cuando un usuario cierra esta casilla, el gusano elimina las funciones del teclado y del mouse, y ejecuta MediaPlayer con un archivo de Internet: http://bdball.metropoli2000.net/mmedia/videos/clips/dballz/gokuhss1.mpg y cambia AUTOEXEC.BAT, insertando las cadenas: @ECHO EN ECHO DraGon Ball [Z] por YuP ECHO ¡Gracias y adiós dragón mundo!
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.VBS.DragonBall

Detalles técnicos