ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.VBS.Horillka

Clase Email-Worm
Plataforma VBS
Descripción

Detalles técnicos

Este gusano malicioso se propaga a través de Internet en forma de un archivo adjunto a los mensajes infectados. Es un script VBS codificado de 25562 bytes.

Cuando se descarga, Horilka se descifra.

Se copia en el directorio del sistema de Windows con el nombre WinSys32dll.vbs y registra este archivo en la clave de ejecución automática del registro del sistema.

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinSys32dll. 

El virus envía en masa todas las direcciones que se encuentran en la libreta de direcciones de Microsoft Outlook.

Características de los mensajes infectados:

Encabezado del mensaje:

 ��������! 

Cuerpo del mensaje:

 ����� ����� vbs ���������� ��� �� �� �� �� �� !
 ��� �������� �������� �������������� ��������������, �������������� �� �������������� .
 ������������ ������� ������� ����� �����-�����, ������������ ������� � ������������� 
vb � js ������, ������ ������ ������ ��������� ��������� ��������� ���.
 ���������� ������� ���� � ��������� ������� �������� ����� 
 ����������� �������� � ������ ����������. 

Adjunto archivo:

un script VBS,

 WinSys32.dll.vbs 

Una vez que se han enviado los mensajes, el virus envía a su autor un mensaje que incluye todos los archivos .pwl (contraseña) que se encuentran en el directorio de Windows.

Los mensajes se envían una vez, cuando se carga la configuración de cada usuario.

El virus se copia en todos los discos y todos los directorios bajo el nombre de Folderdll.vbs y marca estos archivos como ocultos.

Busca en la carpeta de Windows archivos con las siguientes extensiones:

 .vbs
.jpg
.jpeg
.gif
.bmp
.htm
.html
.avc
.TXT
.doc
.mp3
.wav
.dbf 

Horilka sobrescribe archivos .vbs con su propio código.

Reemplaza archivos .jpg, .jpeg, .gif y .bmp con un gráfico de formato GIF contenido en el cuerpo del virus.

Agrega el siguiente código a los archivos .htm y.html:


Los archivos .avc se sobrescriben con la frase:

 Vyatka estaba aquí 

Los archivos .txt y .doc se sobrescriben con el siguiente texto:

 ��������� �������! ��� ����� ����� ������� ������� - ������� ������.
   ¡Queridos amigos! Fuiste pirateado por el virus de Vyatka (situado en el culo profundo de Rusia)
   .. :: Xpi1oT :: .. 

Los archivos .mp3 y .wav son reemplazados por archivos de sonido contenidos en el cuerpo del gusano

Si el gusano encuentra archivos con una extensión .dbf, los elimina

El virus está codificado para mostrar el anuncio:

 COOOOOOOOL 

el 11 de diciembre de cada año, y sobrescribir el archivo autoexec.bat con el siguiente texto:

 @Windows actualizando su sistema ...
   @Por favor espera
   formato c: / autotest / q / u
   @Por favor espera...
   formato d: / autotest / q / u
   @Tu sistema fue pirateado por virus de Vyatka (situado en el culo profundo de Rusia) 

Una vez que esto ocurre, el sistema se reiniciará, lo que dará como resultado el formateo del disco duro C :.


Enlace al original