Kaspersky Threats — HappyTime

Clase

Plataforma

Descripción

Detalles técnicos

Este gusano de Internet se propaga en los mensajes de correo electrónico utilizando MS Outlook Express y el servicio MSMAPI. El gusano está escrito en el lenguaje Visual Basic Script (VBS).

El gusano llega a una computadora como un mensaje de correo electrónico en formato HTML o como un mensaje de texto sin formato con un archivo HTML adjunto. En el primer caso, el código del script en el cuerpo del mensaje HTML se ejecuta automáticamente al abrir el mensaje, y el gusano gana el control. En el otro caso, un usuario debe abrir el archivo HTML adjunto (hacer doble clic en él) para activar el gusano.

Al activarse, el gusano no comienza a propagarse inmediatamente; sino que comienza a infectar una computadora.

Modifica el fondo de pantalla del escritorio con un archivo HTML que contiene el código del gusano dentro. Si el escritorio tiene una imagen de fondo antes de la infección, esta imagen se mostrará como el fondo del HTML infectado y, en la mayoría de los casos, no será evidente para el usuario que el fondo de pantalla se ha modificado; por lo tanto, el gusano gana control cada vez que se muestra el escritorio (por ejemplo, al iniciar Windows) o se actualiza.

Además, el gusano infecta todos los archivos .HTT en la subcarpeta "WEB" de la carpeta de Windows. Windows utiliza estos archivos para personalizar algunas carpetas en la vista en el Explorador cuando el modo Web está habilitado (por ejemplo, la carpeta Archivos de programa). La infección de estos archivos provoca la ejecución del código del gusano cada vez que se muestra una carpeta específica.

Cada vez que el gusano gana el control, busca los archivos con las extensiones HTM, HTML, ASP y VBS y los infecta (inserte su propio código en estos archivos), un archivo a la vez. Después de un tiempo, todos estos archivos en una computadora están infectados.

El gusano también modifica los valores de registro de MS Outlook Express para forzar los mensajes creados por Outlook Express en formato HTML y utiliza los efectos de escritorio para esto. De esta forma, el gusano se propaga en los mensajes creados con Outlook Express. Cada vez que Outlook Express compone un mensaje nuevo, utiliza una de las plantillas de diseño de fondo (solo archivos HTML, infectados por el gusano, ver más arriba); por lo que el script del gusano ingresa automáticamente un mensaje.

Tras cada ejecución, el gusano incrementa un contador en el registro del sistema, y cuando alcanza el valor 366, el gusano ejecuta una de las dos rutinas de distribución.

La primera rutina recopila las direcciones de correo electrónico de la libreta de direcciones de MS Outlook y envía mensajes infectados a todas las direcciones recopiladas.

La segunda rutina enumera todos los mensajes en la carpeta Bandeja de entrada, y sobre cada mensaje encontrado, crea y envía "respuesta", donde el sujeto es "Fw:" y el asunto del mensaje original.

Ambas rutinas usan el servicio MSMAPI para enviar mensajes.

Un mensaje infectado no tiene texto, pero tiene el archivo adjunto "Untitled.htm" que contiene el código del gusano dentro.

Si la suma del día y el mes es 13, el gusano busca archivos EXE y DLL y los elimina un archivo a la vez.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	VBS
Descripción	Detalles técnicos Este gusano de Internet se propaga en los mensajes de correo electrónico utilizando MS Outlook Express y el servicio MSMAPI. El gusano está escrito en el lenguaje Visual Basic Script (VBS). El gusano llega a una computadora como un mensaje de correo electrónico en formato HTML o como un mensaje de texto sin formato con un archivo HTML adjunto. En el primer caso, el código del script en el cuerpo del mensaje HTML se ejecuta automáticamente al abrir el mensaje, y el gusano gana el control. En el otro caso, un usuario debe abrir el archivo HTML adjunto (hacer doble clic en él) para activar el gusano. Al activarse, el gusano no comienza a propagarse inmediatamente; sino que comienza a infectar una computadora. Modifica el fondo de pantalla del escritorio con un archivo HTML que contiene el código del gusano dentro. Si el escritorio tiene una imagen de fondo antes de la infección, esta imagen se mostrará como el fondo del HTML infectado y, en la mayoría de los casos, no será evidente para el usuario que el fondo de pantalla se ha modificado; por lo tanto, el gusano gana control cada vez que se muestra el escritorio (por ejemplo, al iniciar Windows) o se actualiza. Además, el gusano infecta todos los archivos .HTT en la subcarpeta "WEB" de la carpeta de Windows. Windows utiliza estos archivos para personalizar algunas carpetas en la vista en el Explorador cuando el modo Web está habilitado (por ejemplo, la carpeta Archivos de programa). La infección de estos archivos provoca la ejecución del código del gusano cada vez que se muestra una carpeta específica. Cada vez que el gusano gana el control, busca los archivos con las extensiones HTM, HTML, ASP y VBS y los infecta (inserte su propio código en estos archivos), un archivo a la vez. Después de un tiempo, todos estos archivos en una computadora están infectados. El gusano también modifica los valores de registro de MS Outlook Express para forzar los mensajes creados por Outlook Express en formato HTML y utiliza los efectos de escritorio para esto. De esta forma, el gusano se propaga en los mensajes creados con Outlook Express. Cada vez que Outlook Express compone un mensaje nuevo, utiliza una de las plantillas de diseño de fondo (solo archivos HTML, infectados por el gusano, ver más arriba); por lo que el script del gusano ingresa automáticamente un mensaje. Tras cada ejecución, el gusano incrementa un contador en el registro del sistema, y cuando alcanza el valor 366, el gusano ejecuta una de las dos rutinas de distribución. La primera rutina recopila las direcciones de correo electrónico de la libreta de direcciones de MS Outlook y envía mensajes infectados a todas las direcciones recopiladas. La segunda rutina enumera todos los mensajes en la carpeta Bandeja de entrada, y sobre cada mensaje encontrado, crea y envía "respuesta", donde el sujeto es "Fw:" y el asunto del mensaje original. Ambas rutinas usan el servicio MSMAPI para enviar mensajes. Un mensaje infectado no tiene texto, pero tiene el archivo adjunto "Untitled.htm" que contiene el código del gusano dentro. Si la suma del día y el mes es 13, el gusano busca archivos EXE y DLL y los elimina un archivo a la vez.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.VBS.HappyTime

Detalles técnicos