ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.VBS.Lucky

Clase Email-Worm
Plataforma VBS
Descripción

Detalles técnicos

Esta es una familia de gusanos de Internet que se propaga a través del correo electrónico al enviar mensajes infectados desde computadoras infectadas. Mientras se propagan, los gusanos usan MS Outlook y se envían a todas las direcciones almacenadas en la libreta de direcciones de MS Outlook. Como resultado, una computadora infectada envía tantos mensajes a tantas direcciones se mantienen en la lista de contactos de MS Outlook.

Hay dos variantes de gusanos conocidas. Ambos tienen errores en su código y no se pueden propagar, pero estos errores pueden ser resueltos fácilmente por un pirata informático.

Los gusanos están escritos en el lenguaje de scripting "Visual Basic Script" (VBS), y funcionan solo en computadoras en las que está instalado el Windows Scripting Host (WSH). En Windwos 98 y Windows 2000, WHS está instalado por defecto. Para propagarse, los gusanos acceden a MS Outlook y usan sus funciones y listas de direcciones. Esto solo está disponible en Outlook 98/2000, por lo que los gusanos solo se pueden propagar cuando se instala una de estas versiones de MS Oulook.

Extensión

El gusano llega a una computadora como un mensaje de correo electrónico con un archivo VBS adjunto que es el mismo gusano. El mensaje en la versión original del gusano contiene:

El Asunto: Prinz Charles Are Die
Cuerpo del mensaje: el mensaje más reciente para Cool User's. Lucky2000
Nombre de archivo adjunto: COOL_NOTEPAD_DEMO.TXT.vbs

Según la configuración del sistema, es posible que no se muestre la extensión real de un archivo adjunto (".vbs"). En este caso, el nombre del archivo adjunto se muestra como "COOL_NOTEPAD_DEMO.TXT".

Al ser activado por un usuario (haciendo doble clic en el archivo adjunto), el gusano muestra el siguiente mensaje:

expuesto
eXposed está siendo instalado

Luego crea un acceso directo en el escritorio a un archivo PIF que sale de Windows. El gusano establece un icono de acceso directo a un archivo no existente, por lo que el acceso directo tiene un icono estándar, un indicador de Windows con fondo blanco. Después de esto, el gusano muestra el siguiente mensaje:

¡HAGA CLIC EN EL ICONO DE LA BOTELLA AZUL EN EL ESCRITORIO O SE PERDERÁ SU DISCO DURO!
EXPUESTO ES UN VIRUS QUE DAÑARÁ SU COMPUTADORA

Luego el gusano comienza a dispersarse: abre MS Outlook, obtiene acceso a la libreta de direcciones, obtiene todas las direcciones desde allí y envía mensajes con su copia adjunta a todos ellos. El asunto del mensaje, el cuerpo y el nombre del archivo adjunto son los mismos que los de arriba.

El gusano también se instala en el sistema. Crea su copia en el directorio de Windows con el nombre "Prinz_Charles_Are_Die.TXT.vbs":

Este archivo luego se registra en la sección de ejecución automática de Windows en el registro del sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunPrinz_Charles_Are_Die = Prinz_Charles.Are.Die.TXT.vbs

Como resultado, el gusano se reactiva cada vez que Windows arranca.

Otras variantes

El gusano en sí es un programa de script de texto y se propaga en forma de fuente de texto. El código del gusano puede ser modificado fácilmente por los hackers, y como resultado, hay muchas variantes del gusano que pueden haber aparecido. Por lo general, solo se realizan cambios menores.

I-Worm.Lucky.b

Esta variante de gusano es muy similar a la primera. Al activarse, muestra otros mensajes:

Precio
El precio está aquí

y:

¡HAGA CLIC EN EL ICONO DE LA BOTELLA AZUL EN EL ESCRITORIO Y GANA UN MILLÓN DE DÓLARES!

El mensaje infectado contiene:

El Asunto: Won_a_Price
Cuerpo del mensaje: Un millón de dólares para usted. Lucky2000
Nombre de archivo adjunto: Won_a_Price.TXT.vbs


Enlace al original