ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.VBS.HappyTime

Clase Email-Worm
Plataforma VBS
Descripción

Detalles técnicos

Este gusano de Internet se propaga en los mensajes de correo electrónico utilizando MS Outlook Express y el servicio MSMAPI. El gusano está escrito en el lenguaje Visual Basic Script (VBS).

El gusano llega a una computadora como un mensaje de correo electrónico en formato HTML o como un mensaje de texto sin formato con un archivo HTML adjunto. En el primer caso, el código del script en el cuerpo del mensaje HTML se ejecuta automáticamente al abrir el mensaje, y el gusano gana el control. En el otro caso, un usuario debe abrir el archivo HTML adjunto (hacer doble clic en él) para activar el gusano.

Al activarse, el gusano no comienza a propagarse inmediatamente; sino que comienza a infectar una computadora.

Modifica el fondo de pantalla del escritorio con un archivo HTML que contiene el código del gusano dentro. Si el escritorio tiene una imagen de fondo antes de la infección, esta imagen se mostrará como el fondo del HTML infectado y, en la mayoría de los casos, no será evidente para el usuario que el fondo de pantalla se ha modificado; por lo tanto, el gusano gana control cada vez que se muestra el escritorio (por ejemplo, al iniciar Windows) o se actualiza.

Además, el gusano infecta todos los archivos .HTT en la subcarpeta "WEB" de la carpeta de Windows. Windows utiliza estos archivos para personalizar algunas carpetas en la vista en el Explorador cuando el modo Web está habilitado (por ejemplo, la carpeta Archivos de programa). La infección de estos archivos provoca la ejecución del código del gusano cada vez que se muestra una carpeta específica.

Cada vez que el gusano gana el control, busca los archivos con las extensiones HTM, HTML, ASP y VBS y los infecta (inserte su propio código en estos archivos), un archivo a la vez. Después de un tiempo, todos estos archivos en una computadora están infectados.

El gusano también modifica los valores de registro de MS Outlook Express para forzar los mensajes creados por Outlook Express en formato HTML y utiliza los efectos de escritorio para esto. De esta forma, el gusano se propaga en los mensajes creados con Outlook Express. Cada vez que Outlook Express compone un mensaje nuevo, utiliza una de las plantillas de diseño de fondo (solo archivos HTML, infectados por el gusano, ver más arriba); por lo que el script del gusano ingresa automáticamente un mensaje.

Tras cada ejecución, el gusano incrementa un contador en el registro del sistema, y ​​cuando alcanza el valor 366, el gusano ejecuta una de las dos rutinas de distribución.

La primera rutina recopila las direcciones de correo electrónico de la libreta de direcciones de MS Outlook y envía mensajes infectados a todas las direcciones recopiladas.

La segunda rutina enumera todos los mensajes en la carpeta Bandeja de entrada, y sobre cada mensaje encontrado, crea y envía "respuesta", donde el sujeto es "Fw:" y el asunto del mensaje original.

Ambas rutinas usan el servicio MSMAPI para enviar mensajes.

Un mensaje infectado no tiene texto, pero tiene el archivo adjunto "Untitled.htm" que contiene el código del gusano dentro.

Si la suma del día y el mes es 13, el gusano busca archivos EXE y DLL y los elimina un archivo a la vez.


Enlace al original