ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.VBS.Potok

Clase Email-Worm
Plataforma VBS
Descripción

Detalles técnicos

Esta es una familia de gusanos de Internet que se propaga a través del correo electrónico al enviar mensajes infectados desde computadoras infectadas. Mientras se propagan, los gusanos usan MS Outlook y se envían a las direcciones que están almacenadas en la libreta de direcciones de MS Outlook.

Los gusanos están escritos en el lenguaje de scripting "Visual Basic Script" (VBS), y funcionan solo en computadoras en las que se instaló el Windows Scripting Host (WSH). En Windows 98 y Windows 2000, WHS está instalado por defecto. Para propagarse, los gusanos tienen acceso a MS Outlook y usan sus funciones y listas de direcciones. Esto solo está disponible en Outlook 98/2000, por lo que los gusanos solo se pueden propagar cuando se instala una de estas versiones de MS Outlook.

El gusano llega a una computadora como un mensaje de correo electrónico con un archivo VBS adjunto que es el mismo gusano. El mensaje en la versión original del gusano contiene:

El tema: Nueva generación de controladores.
Cuerpo del mensaje:

Microsoft hasCards, comp publicado nuevo controlador
para todos los tipos Video atible con Windows 95/98 / NT / 2000 / XP.
Puedes leer sobre esto en el documento adjunto.
Mis mejores deseos, Microsoft.

Nombre de archivo adjunto: "driver.doc .vbs"

La extensión del archivo (".vbs") está separada por muchos espacios y, a veces, puede que no se muestre.

Según la configuración del sistema, es posible que no se muestre una extensión real de archivo adjunto (".vbs"). En este caso, el nombre de archivo del archivo adjunto se muestra como "DRIVER.DOC".

Al ser activado por un usuario (haciendo doble clic en el archivo adjunto), el gusano crea su copia exacta en el directorio de WINDOWS con el nombre "driver.doc .vbs".

El gusano comprueba si el sistema de archivos es NTFS, y si no es así, se cierra. Si el sistema de archivos es NTFS, el gusano crea un archivo ODBC.INI en el directorio de WINDOWS y asocia cuatro flujos NTFS adicionales con él.

Si el sistema de archivos es NTFS, el gusano crea un archivo ODBC.INI en el directorio de WINDOWS y asocia cuatro flujos NTFS adicionales con él.

grupo : agrega un usuario al sistema
correo : envía las copias de un gusano usando Outlook
principal – parte principal del gusano
usuario : agrega un usuario al sistema

A continuación, el gusano crea un archivo temporal ("go.vbs"), que reúne todas las partes del gusano en un archivo ("notepad.vbs") y lo inicia.

La parte del gusano iniciada desde NOTEPAD.VBS envía su copia a las primeras 50 direcciones de correo electrónico en la libreta de direcciones de Outlook. Después del envío de correos, el gusano comprueba si el sistema operativo es Windows 2000 y, si lo está, agrega un nuevo usuario con el nombre "Lord_Nikon" al sistema.


Enlace al original