Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Email-Worm
Email-Worms esparcidos por correo electrónico. El gusano envía una copia de sí mismo como un archivo adjunto a un mensaje de correo electrónico o un enlace a su archivo en un recurso de red (por ejemplo, una URL a un archivo infectado en un sitio web comprometido o un sitio web propiedad de hackers). En el primer caso, el código del gusano se activa cuando se abre (inicia) el archivo adjunto infectado. En el segundo caso, el código se activa cuando se abre el enlace al archivo infectado. En ambos casos, el resultado es el mismo: el código del gusano está activado. Email-Worms utiliza una variedad de métodos para enviar correos electrónicos infectados. Los más comunes son: el uso de una conexión directa a un servidor SMTP utilizando el directorio de correo electrónico integrado en el código del gusano utilizando los servicios de MS Outlook utilizando las funciones de Windows MAPI. Email-Worms utiliza varias fuentes diferentes para encontrar las direcciones de correo electrónico a las que se enviarán los correos electrónicos infectados: la libreta de direcciones en MS Outlook una base de datos WAB. Archivos .txt almacenados en el disco duro: el gusano puede identificar qué cadenas en los archivos de texto son direcciones de correo electrónico correos electrónicos en la bandeja de entrada (algunos Email-Worms incluso "responden" a los correos electrónicos que se encuentran en la bandeja de entrada) Muchos Email-Worms usan más de una de las fuentes mencionadas anteriormente. También hay otras fuentes de direcciones de correo electrónico, como libretas de direcciones asociadas con servicios de correo electrónico basados en la web.Más información
Plataforma: VBS
Visual Basic Scripting Edition (VBScript) es un lenguaje de scripts interpretado por Windows Script Host. VBScript es ampliamente utilizado para crear scripts en sistemas operativos Microsoft Windows.Descripción
Detalles técnicos
Este es el gusano de Internet que causó la epidemia mundial a principios de mayo de 2000. El gusano se propaga por correo electrónico al enviar mensajes infectados desde las computadoras afectadas. Mientras se propaga, el gusano usa MS Outlook y se envía a todas las direcciones que están almacenadas en la libreta de direcciones de MS Outlook. Como resultado, una computadora infectada envía tantos mensajes a tantas direcciones guardadas en la lista de contactos de MS Outlook.
El gusano está escrito en el lenguaje de scripting "Visual Basic Script" (VBS). Funciona solo en computadoras en las que se ha instalado el Windows Scripting Host (WSH). En Windows 98 y Windows 2000, WHS está instalado por defecto. Para propagarse, el gusano accede a MS Outlook y utiliza sus funciones y listas de direcciones, que solo están disponibles en Outlook 98/2000, por lo que el gusano solo se puede propagar en caso de que se instale una de estas versiones de MS Oulook.
Cuando se ejecuta, el gusano envía sus copias por correo electrónico, se instala en el sistema, realiza acciones destructivas, descarga e instala un programa troyano. El gusano también tiene la capacidad de propagarse a través de los canales mIRC.
El gusano contiene cadenas de "derechos de autor":
barok -loveletter (vbe) <i hate ir a la escuela>
por: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila, Filipinas
Extensión
El gusano llega a una computadora como un mensaje de correo electrónico con un archivo VBS adjunto que es el mismo gusano. El mensaje en la versión original del gusano tiene:
El Asunto: ILOVEYOU
Cuerpo del mensaje: amablemente revisa el LOVELETTER adjunto que viene de mí.
Nombre de archivo adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Tras la activación por parte de un usuario, (haciendo doble clic en un archivo adjunto), el gusano abre MS Outlook, obtiene acceso a la Libreta de direcciones, obtiene todas las direcciones desde allí y envía mensajes con su copia adjunta a todos ellos. El asunto del mensaje, el cuerpo y el nombre del archivo adjunto son los mismos que los de arriba.
El gusano también se instala en el sistema. Crea sus copias en los directorios de Windows con los nombres:
en el directorio de Windows: WIN32DLL.VBS en el directorio del sistema de Windows: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS
Estos archivos se registran en la sección de ejecución automática de Windows en el registro del sistema:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS
Como resultado, el gusano se reactiva cada vez que Windows arranca.
El gusano también crea un cuentagotas HTM en el directorio del sistema de Windows para usarlo mientras se propaga a los canales mIRC (ver a continuación). Esta copia tiene el siguiente nombre:
LOVE-LETTER-FOR-YOU.TXT.HTM
Descargar un archivo troyano
Para instalar el programa troyano en el sistema, el gusano modifica la URL a la página de inicio de Internet Explorer. La nueva URL apunta a un sitio web (randonly seleccionado entre cuatro variantes) y obliga a Explorer a descargar un archivo EXE desde allí. Ese archivo tiene el nombre WIN-BUGSFIX.EXE y es el programa Troyano. El gusano registra este archivo en el registro del sistema en una sección de ejecución automática:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe
En la siguiente ejecución, Internet Exlorer descarga el troyano y lo almacena en el directorio de descarga del sistema. En el siguiente inicio de Windows, el troyano obtiene el control y se copia al directorio de sistema de Windows con el nombre WINFAT32.EXE.
Cuando se ha instalado el troyano en el sistema, el gusano establece la página de inicio de Internet Explorer en blanco ("sobre: en blanco").
El archivo descargado e instalado es un troyano que roba contraseñas. Obtiene el nombre de la máquina local y la dirección IP, los inicios de sesión de la red y las contraseñas, la información RAS, etc., y los envía al host del troyano. Las muestras que se han analizado envían mensajes a "mailme@super.net.ph", el asunto del mensaje es similar a lo siguiente:
Barok ... email.passwords.sender.trojan
Difundir a los canales de IRC
El gusano escanea unidades locales y busca archivos:
MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP
En caso de que al menos uno de estos archivos se encuentre en un subdirectorio, el gusano arroja un nuevo archivo SCRIPT.INI allí. Ese archivo contiene instrucciones mIRC que envían una copia de gusano (el archivo LOVE-LETTER-FOR-YOU.TXT.HTM) a todos los usuarios que se unen al canal de IRC infectado.
El archivo SCRIPT.INI contiene los comentarios:
mIRC Script
Por favor, no edites este script ... mIRC se corromperá, si mIRC
corrupto ... WINDOWS afectará y no se ejecutará correctamente. Gracias
Khaled Mardam-Bey
http://www.mirc.com
Cuando un usuario de IRC recibe ese HTML infectado, se copia en un directorio de descarga de IRC. El gusano se activa a partir de ese archivo solo en caso de que el usuario haga clic en él. Debido a que la configuración de seguridad del navegador no permite que los scripts accedan a los archivos del disco y muestren un mensaje de advertencia, el gusano usa un truco para evitar eso. Primero, muestra un mensaje para engañar al usuario:
Este archivo HTML necesita control ActiveX
Para habilitar para leer este archivo HTML
- Presione el botón 'SÍ' para habilitar ActiveX
En caso de que el usuario realmente haga clic en 'SÍ', el gusano tendrá acceso a los archivos del disco y se instalará en el sistema. Deja caer su código VBS en el directorio del sistema de Windows con el nombre MSKERNEL32.VBS y lo registra en la sección de ejecución automática de Windows en el registro del sistema:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS
En caso de que se elija 'NO', el gusano intercepta el movimiento del mouse y los eventos de pulsación de teclas y luego se recarga. Como resultado, un usuario recibe un mensaje de advertencia en un bucle sin fin hasta que presiona 'SÍ'.
Acción destructiva
El gusano escanea los árboles de subdirectorios en todas las unidades locales y mapeadas disponibles, enumera todos los archivos allí y, dependiendo de la extensión del nombre de archivo, realiza acciones:
- VBS, VBE: el gusano sobrescribe estos archivos con su cuerpo VBS. Como resultado, todos los programas VBS y VBE en el sistema se sobrescriben con código de gusano.
- JS, JSE, CSS, WSH, SCT, HTA: el gusano crea un nuevo archivo con un nombre de archivo original más la extensión ".VBS" y elimina el archivo original; es decir, el gusano sobrescribe estos archivos con su código y los renombra con la extensión VBS. Por ejemplo, "TEST.JS" becowes "TEST.VBS".
- JPG, JPEG: el gusano hace lo mismo que arriba, pero agrega una extensión ".VBS" al nombre completo del archivo (no cambia el nombre a ".VBS"). Por ejemplo, "PIC1.JPG" se convierte en "PIC1.JPG.VBS".
- MP2, MP3: el gusano crea un nuevo archivo con una extensión ".VBS" (para "SONG.MP2", el gusano crea el archivo "SONG.MP2.VBS"), escribe su código allí y establece el atributo de archivo " oculto "para el archivo original.
Otras variantes
El gusano en sí es un programa de script de texto y se propaga en forma de fuente de texto. El código del gusano puede ser fácilmente modificado por los hackers, y como resultado, hay muchas variantes del gusano original. La mayoría de ellos son solo remakes menores y difieren del gusano original en detalles: hay cambios en el texto de los campos de mensaje, diferentes nombres de archivos, diferentes conjuntos de extensiones de archivos de disco afectados (por ejemplo, .BAT e .INI).
El Asunto, el cuerpo del mensaje y el nombre del archivo adjunto en diferentes variantes aparecen como se enumeran a continuación (el primer bloque pertenece a la versión original del gusano):
Asunto / cuerpo / adjuntar nombre TE AMO amablemente revise el LOVELETTER adjunto que viene de mí. LOVE-LETTER-FOR-YOU.TXT.vbs Confirmación del pedido del día de la madre Hemos procedido a cargar su tarjeta de crédito por la cantidad de $ 326.92 para el día especial de las madres diamante. Hemos adjuntado un detallado factura a este correo electrónico Imprima el archivo adjunto y guárdelo en una lugar seguro. ¡Gracias otra vez y ten un feliz dia de las madres! mothersday@subdimension.com mothersday.vbs fwd: Broma- no hay cuerpo de mensaje en el mensaje Very Funny.vbs Susitikim shi vakara kavos puodukui ... amablemente revise el LOVELETTER adjunto que viene de mí. LOVE-LETTER-FOR-YOU.TXT.vbs ¡Importante! Lea cuidadosamente !! Verifique el adjunto ¡IMPORTANTE viniendo de mí! IMPORTANTE.TXT.vbs Advertencia de virus peligroso Hay un virus peligroso circulando. Haga clic en la imagen adjunta para verla y aprender a evitarla. virus_warning.jpg.vbs ¡Cómo protegerse del error IL0VEY0U! Aquí está la manera fácil de arreglar el virus del amor. Virus-Protection-Instructions.vbs Gracias por volar con Arab Airlines Verifique si la factura es correcta abriendo el archivo adjunto. ArabAir.TXT.vbs Bewerbung Kreolina Sehr geehrte Damen und Herren! BEWERBUNG.TXT.vbs ¡MIRA! jeje ... mira esto. LOOK.vbs Prueba de variantes Esta es una variante del virus vbs. IMPORTANTE.TXT.vbs Sí, sí, otra vez a la MUERTE ... Este es el Asesino para VBS.LOVE-LETTER.WORM. Vir-Killer.vbs ¡No puedo creer esto! No puedo creer que acabo de recibir este correo electrónico de odio ... ¡Echa un vistazo! KillEmAll.TXT.vbs Nueva variación en LOVEBUG Update Anti-Virus !! Ahora hay una nueva variante de error de amor. Fue lanzado en 8:37 PM el sábado por la noche. Por favor, descargue el parche de encendido de fo. Estamos tratando de aislar el virus. Gracias Symantec. antivirusupdate.vbs IMPORTANTE: Virus oficial y corrección de errores Este es un virus oficial y solución de errores. Lo obtuve de nuestro administrador del sistema. Puede tomar un poco de tiempo actualizar los archivos de su sistema después de ejecutar el adjunto archivo. Error y virus fix.vbs Ataques recientes de virus-Fix Adjunto hay una copia de un script que revertirá el efecto de la LOVE-LETTER-TO-YOU.TXT.vbs, así como también la FW: JOKE, Día de la Madre y Hermanos Lituanos. BAND-AID.DOC.vbs PresenteUOL O UOL tem um grande presente para voce, e eh exclusivo. Veja o arquivo em anexo. http://www.uol.com.br UOL.TXT.vbs ERROR DE ERROR Y VIRUS Lo obtuve de nuestro administrador del sistema. Ejecuta esto para ayudar a pervertir un reciente o reciente futuros errores y ataques de virus. Puede tardar un poco hasta actualizar sus archivos. PRINCIPAL ERROR Y VIRUS FIX.vbsCONTRASEÑAS DE SEXO GRATUITAS Echale un vistazo ; CONTRASEÑAS SEXUALES GRATUITAS. CONTRASEÑAS SEXUALES GRATUITAS.HTML.vbs ¡Puede ganar $ 1,000,000! 1 clic fuera amablemente revise el WIN adjunto proveniente de mí. WIN.vbs Advertencias de Virus !!! MUY IMPORTANTE POR FAVOR, LEA ESTE TEXTO. ANEXO DE TEXTO. very-important-txt.vbs CÓMO VENCER VIRUS amablemente revise la INFORMACIÓN DE VIRUS adjunta que viene de mi parte. Así es como puedes ser inmune a cualquier virus. ¡Realmente ayuda mucho! HOW_TO_BEAT_VIRUSES.TXT.vbs¡Debes leer esto! ¿Has leído este texto? ¡¡Debes hacerlo!! C: NOTES.TXT.exe¡Nuevo virus descubierto! ¡Un nuevo virus ha sido descubierto! Su nombre es @ - @ Alha y Omega @ - @. La lista completa de habilidades de virus está incluida en el archivo adjunto @ - @ info.txt @ - @. Para obtener la última información, vaya a la página web de McAfee Por favor, envíe este mensaje a todos sus seres queridos. info.txt.vbs ¡Querría que estés aquí! ¡Querría que estés aquí! ¡Me lo estoy pasando genial! ¡Ojalá estuvieras aquí! .postcard.vbs
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com