ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.VBS.DragonBall

Clase Email-Worm
Plataforma VBS
Descripción

Detalles técnicos

Este gusano de Internet se propaga a través de mensajes de correo electrónico utilizando MS Outlook e IRC, y está escrito en VBS. El gusano no funciona correctamente, ya que contiene algunos errores fatales.

Cuando se ejecuta la secuencia de comandos, crea auto copias en los directorios del sistema:

C: WindowsWinsock.vbs
C: WindowsSysdir.vbs
C: WindowsSystemmillioner.vbs
C: WindowsSystemDragonBall.vbs
C: WindowsSystemDragonBall.cab

También crea tres scripts en el directorio IRC:

C: mIRCmirc.ini
C: mIRCscript.ini
C: mIRCupdate.ini

Los scripts de IRC son necesarios para propagarse a través del canal de IRC. Como los directorios llamados "C: Windows" y "C: mIRC" se registran en el cuerpo del gusano, no pueden ejecutar estas operaciones si el sistema operativo y el IRC se instalan en diferentes directorios.

Después de esto, el gusano cambia algunas claves en el registro del sistema y el archivo WIN.INI. Esto crea dos claves en el registro:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winsock2.0" = "C: Windows winsock.vbs"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"sysup" = "C: Windows sysdir.vbs"

y cambia el valor de las dos claves en el archivo WIN.INI:

[ventanas]
load = C: WindowsSystemDragonBall.vbs
ejecutar = C: WindowsSystemmillioner.vbs

De esta forma, el gusano siempre se ejecutará cuando se inicie el sistema operativo. Además de esto, el gusano cambia otras dos claves en el registro del sistema

[HKLMSoftwareMicrosoftWindowsCurrentVersion]
"RegisteredOwner" = "Dragon Ball Z por YuP"

[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Página de inicio" = "http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg"

Luego, el gusano activa un procedimiento de propagación, se abre la libreta de direcciones de MS Outlook y, para cada dirección, se crea el siguiente mensaje:

Asunto: Hola;]
Cuerpo: Hola, mira este juego que te envié (juego divertido de la red:]).
Adjuntar: dragonball.vbs

El gusano contiene errores, y este procedimiento no puede funcionar correctamente. Entonces, el gusano no se puede propagar por correo electrónico.

En conclusión, el gusano muestra el siguiente cuadro de diálogo:

Dragon Ball Z por YuP ¡Gracias, y adiós DragonWorld! [ OKAY ]

Cuando un usuario cierra esta casilla, el gusano elimina las funciones del teclado y del mouse, y ejecuta MediaPlayer con un archivo de Internet:

http://bdball.metropoli2000.net/mmedia/videos/clips/dballz/gokuhss1.mpg

y cambia AUTOEXEC.BAT, insertando las cadenas:

@ECHO EN
ECHO DraGon Ball [Z] por YuP
ECHO ¡Gracias y adiós dragón mundo!


Enlace al original