Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Esta es una familia de gusanos de Internet que se propaga a través del correo electrónico al enviar mensajes infectados desde computadoras infectadas. Mientras se propagan, los gusanos usan MS Outlook y se envían a las direcciones que están almacenadas en la libreta de direcciones de MS Outlook.

Los gusanos están escritos en el lenguaje de scripting "Visual Basic Script" (VBS), y funcionan solo en computadoras en las que se instaló el Windows Scripting Host (WSH). En Windows 98 y Windows 2000, WHS está instalado por defecto. Para propagarse, los gusanos tienen acceso a MS Outlook y usan sus funciones y listas de direcciones. Esto solo está disponible en Outlook 98/2000, por lo que los gusanos solo se pueden propagar cuando se instala una de estas versiones de MS Outlook.

El gusano llega a una computadora como un mensaje de correo electrónico con un archivo VBS adjunto que es el mismo gusano. El mensaje en la versión original del gusano contiene:

El tema: Nueva generación de controladores.
Cuerpo del mensaje:

Microsoft hasCards, comp publicado nuevo controlador
para todos los tipos Video atible con Windows 95/98 / NT / 2000 / XP.
Puedes leer sobre esto en el documento adjunto.
Mis mejores deseos, Microsoft.

Nombre de archivo adjunto: "driver.doc .vbs"

La extensión del archivo (".vbs") está separada por muchos espacios y, a veces, puede que no se muestre.

Según la configuración del sistema, es posible que no se muestre una extensión real de archivo adjunto (".vbs"). En este caso, el nombre de archivo del archivo adjunto se muestra como "DRIVER.DOC".

Al ser activado por un usuario (haciendo doble clic en el archivo adjunto), el gusano crea su copia exacta en el directorio de WINDOWS con el nombre "driver.doc .vbs".

El gusano comprueba si el sistema de archivos es NTFS, y si no es así, se cierra. Si el sistema de archivos es NTFS, el gusano crea un archivo ODBC.INI en el directorio de WINDOWS y asocia cuatro flujos NTFS adicionales con él.

Si el sistema de archivos es NTFS, el gusano crea un archivo ODBC.INI en el directorio de WINDOWS y asocia cuatro flujos NTFS adicionales con él.

grupo : agrega un usuario al sistema
correo : envía las copias de un gusano usando Outlook
principal – parte principal del gusano
usuario : agrega un usuario al sistema

A continuación, el gusano crea un archivo temporal ("go.vbs"), que reúne todas las partes del gusano en un archivo ("notepad.vbs") y lo inicia.

La parte del gusano iniciada desde NOTEPAD.VBS envía su copia a las primeras 50 direcciones de correo electrónico en la libreta de direcciones de Outlook. Después del envío de correos, el gusano comprueba si el sistema operativo es Windows 2000 y, si lo está, agrega un nuevo usuario con el nombre "Lord_Nikon" al sistema.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	VBS
Descripción	Detalles técnicos Esta es una familia de gusanos de Internet que se propaga a través del correo electrónico al enviar mensajes infectados desde computadoras infectadas. Mientras se propagan, los gusanos usan MS Outlook y se envían a las direcciones que están almacenadas en la libreta de direcciones de MS Outlook. Los gusanos están escritos en el lenguaje de scripting "Visual Basic Script" (VBS), y funcionan solo en computadoras en las que se instaló el Windows Scripting Host (WSH). En Windows 98 y Windows 2000, WHS está instalado por defecto. Para propagarse, los gusanos tienen acceso a MS Outlook y usan sus funciones y listas de direcciones. Esto solo está disponible en Outlook 98/2000, por lo que los gusanos solo se pueden propagar cuando se instala una de estas versiones de MS Outlook. El gusano llega a una computadora como un mensaje de correo electrónico con un archivo VBS adjunto que es el mismo gusano. El mensaje en la versión original del gusano contiene: El tema: Nueva generación de controladores. Cuerpo del mensaje: Microsoft hasCards, comp publicado nuevo controlador para todos los tipos Video atible con Windows 95/98 / NT / 2000 / XP. Puedes leer sobre esto en el documento adjunto. Mis mejores deseos, Microsoft. Nombre de archivo adjunto: "driver.doc .vbs" La extensión del archivo (".vbs") está separada por muchos espacios y, a veces, puede que no se muestre. Según la configuración del sistema, es posible que no se muestre una extensión real de archivo adjunto (".vbs"). En este caso, el nombre de archivo del archivo adjunto se muestra como "DRIVER.DOC". Al ser activado por un usuario (haciendo doble clic en el archivo adjunto), el gusano crea su copia exacta en el directorio de WINDOWS con el nombre "driver.doc .vbs". El gusano comprueba si el sistema de archivos es NTFS, y si no es así, se cierra. Si el sistema de archivos es NTFS, el gusano crea un archivo ODBC.INI en el directorio de WINDOWS y asocia cuatro flujos NTFS adicionales con él. Si el sistema de archivos es NTFS, el gusano crea un archivo ODBC.INI en el directorio de WINDOWS y asocia cuatro flujos NTFS adicionales con él. grupo : agrega un usuario al sistema correo : envía las copias de un gusano usando Outlook principal – parte principal del gusano usuario : agrega un usuario al sistema A continuación, el gusano crea un archivo temporal ("go.vbs"), que reúne todas las partes del gusano en un archivo ("notepad.vbs") y lo inicia. La parte del gusano iniciada desde NOTEPAD.VBS envía su copia a las primeras 50 direcciones de correo electrónico en la libreta de direcciones de Outlook. Después del envío de correos, el gusano comprueba si el sistema operativo es Windows 2000 y, si lo está, agrega un nuevo usuario con el nombre "Lord_Nikon" al sistema.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.VBS.Potok

Detalles técnicos