ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Clase | Email-Worm |
Plataforma | VBS |
Descripción |
Detalles técnicosEste es un gusano de Internet que se propaga como un archivo VBS adjunto a los mensajes de correo electrónico. Para enviar mensajes infectados, el gusano usa MS Outlook. El gusano también puede enviar sus copias a canales IRC infectando un cliente mIRC. Cuando el archivo de gusano se activa (al hacer doble clic en el archivo adjunto en mensajes infectados o al ser aceptado como descarga de IRC), se instala en el sistema copiando su código en el directorio de Windows con el nombre RUNDLL32.VBS y registrándolo en la sección de ejecución automática en el registro de Windows:
Como resultado, el gusano se activa cada vez que se inicia Windows. Mensajes de correo electrónicoMientras envía sus copias por correo, el gusano se conecta a MS Outlook, obtiene acceso a la libreta de direcciones y envía sus copias a todas las direcciones enumeradas allí. Dependiendo de la configuración del sistema, el mensaje tiene un tema y cuerpo diferente. En la versión alemana de Windows, el mensaje aparece de la siguiente manera:
En Windows no alemán:
El nombre de archivo adjunto se selecciona al azar de ocho variantes:
También se crea una copia del gusano con el mismo nombre (seleccionado al azar) en el directorio de Windows (esta copia se adjunta exactamente a los mensajes infectados). Infección IRCPara propagarse a los canales de IRC, el gusano crea un archivo de sistema mIRC SCRIPT.INI en el directorio mIRC (si está instalado). El gusano busca un directorio C: MIRC y un directorio MIRC en "Archivos de programa". Si mIRC está instalado, el gusano coloca un nuevo archivo SCRIPT.INI allí. Este archivo contiene un conjunto de instrucciones que envía el archivo de gusano a todos los que ingresan a un canal infectado. El script mIRC también:
Rutina de carga útilLa rutina de carga útil se activa el 20 de junio. Muestra el siguiente mensaje:
y deshabilita el teclado y el mouse al modificar las siguientes dos claves de registro del sistema:
MiscEl gusano también cambia el campo "Propietario registrado" en "Mi Computadora / Propiedades", el nuevo valor es "FireburN". Esto se hace modificando la siguiente clave de registro:
El código del gusano también contiene el texto "copyright":
|
Enlace al original |
|
Descubra las estadísticas de las amenazas que se propagan en su región |