Kaspersky Threats — Scrapworm

Clase

Plataforma

Descripción

Detalles técnicos

Este es el gusano de Internet que se encontró en estado salvaje a mediados de junio de 2000. El gusano se propaga por correo electrónico al enviar mensajes infectados desde las computadoras afectadas. Mientras se propaga, el gusano usa MS Outlook y se envía a las direcciones que se seleccionan al azar de la libreta de direcciones de MS Outlook.

El gusano está escrito en el lenguaje de scripting "Visual Basic Script" (VBS). Funciona solo en computadoras en las que está instalado el Windows Scripting Host (WSH). En Windows 98 y Windows 2000, WHS está instalado por defecto. Para propagarse, el gusano accede a MS Outlook y usa sus funciones y listas de direcciones. Solo está disponible en Outlook 98/2000, por lo que el gusano solo se puede propagar en caso de que se instale una de estas versiones de MS Oulook.

Cuando se ejecuta, el gusano envía sus copias por correo electrónico, se instala en el sistema y se copia en las unidades de red. El gusano también tiene la capacidad de propagarse a través de canales mIRC.

El gusano contiene una cadena de "derechos de autor":

'MIRC / RED / PERSPECTIVA / PIRCH.ShellScrapWorm por SimpleSimon / Zulu

Extensión

El gusano llega a una computadora como un mensaje de correo electrónico con un archivo adjunto SHS que es un paquete de desechos con un gusano adentro. El asunto del mensaje puede ser diferente, y se combina a partir de tres conjuntos de cadenas:

"Fw:", ""
"Etapas de la vida", "Divertido", "Bromas"
"texto", ""

Ejemplos:

Fw: Bromas
Etapas de la vida
Texto divertido

El cuerpo del mensaje puede estar vacío o uno de estos está presente:

> Las etapas de la vida masculina y femenina.
> Las etapas de la vida masculina y femenina. Adiós.

El mensaje tiene el archivo adjunto "LIFE_STAGES.TXT.SHS" que contiene el gusano dentro.

Según la configuración del sistema, es posible que no se muestre la extensión real del archivo adjunto (".SHS"). En este caso, el nombre del archivo adjunto se muestra como "LIFE_STAGES.TXT".

Al ser activado por un usuario (haciendo doble clic en el archivo adjunto), el paquete de desecho (archivo SHS) activa su contenido. Tan pronto como el archivo adjunto contiene el archivo VBS dentro, que contiene un programa de Visual Basic Script, este archivo se ejecuta y el script del gusano toma el control.

El gusano crea un archivo de texto en el directorio temporal y lo muestra usando el editor de texto. El contenido del archivo es:

– Las etapas masculinas de la vida:

Años. Líneas de seducción
17 Mis padres están fuera el fin de semana.
25 Mi novia está fuera por el fin de semana.
35 Mi novia está fuera por el fin de semana.
48 Mi esposa está fuera por el fin de semana.
66 Mi segunda esposa está muerta.

Años. Deporte favorito.
17 Sexo.
25 Sexo.
35 Sexo.
48 Sexo.
66 tomando una siesta.

Años. Definiton de una fecha exitosa.
17 Lengua.
25 Desayuno.
35 Ella no retrasó mi terapia.
48 No tuve que conocer a sus hijos.
66 Llegué a casa vivo.

– Las etapas femeninas de la vida:

Años. Fantasía favorita.
17 Alto, oscuro y hansome.
25 Alto, oscuro y hansome con dinero.
35 Alto, oscuro y hansome con dinero y cerebro.
48 Un hombre con cabello.
66 Un hombre.

Años. Fecha ideal.
17 Él ofrece pagar.
25 Él paga.
35 Él prepara el desayuno a la mañana siguiente.
48 Él prepara el desayuno a la mañana siguiente para los niños.
66 Él puede masticar su desayuno.

Después de eso, el gusano abre MS Outlook, obtiene acceso a la libreta de direcciones, obtiene cientos de direcciones aleatorias de cada lista de direcciones y envía mensajes con su copia adjunta a todas ellas. El asunto del mensaje, el cuerpo y el nombre del archivo adjunto son los mismos que los mencionados anteriormente.

El gusano también se instala en el sistema. Crea sus copias en directorios de Windows con los nombres:

en el directorio de Windows: LIFE_STAGES.TXT.SHS
en el directorio del sistema de Windows: MSINFO16.TLB
en Recicle bin: MSRCYCLD.DAT

Luego, el gusano crea sus copias con nombres aleatorios en directorios raíz de todos los discos duros locales y también en las carpetas "Programas" y "Mis documentos". Si existe una carpeta de inicio de Windows en la unidad de red, el gusano se copia allí.

El gusano también suelta archivos:

en el directorio del sistema de Windows: SCANREG.VBS

– este gusano de archivo se registra en el registro del sistema en la sección de ejecución automática que se ejecutará en cada inicio de Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesScanReg = "WSCRIPT.EXE SCANREG.VBS"

– el gusano crea una copia de este archivo en la papelera de reciclaje:

RCYCLDBN.DAT

en el directorio de Windows: DBINDEX.VBS

– Este archivo gusano se registra en el registro del sistema en la sección ICQ para ser ejecutado en cada inicio de ICQ:

HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQEnable = "Sí"
HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQParameters = "C: RECYCLEDDBINDEX.VBS"
HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQPath = "WSCRIPT.EXE"
HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQStartup = "C: WINDOWS"

– el gusano crea una copia de este archivo en el directorio de sistema de Windows:

VBASET.OLB

Como resultado, el gusano se reactiva cada vez que Windows arranca o se inicia ICQ.

Difundir a los canales de IRC

El gusano escanea las unidades locales y busca un archivo MIRC.INI. En caso de que este archivo se encuentre en un subdirectorio, el gusano arroja allí un archivo SOUND32B.DLL. Este archivo contiene instrucciones mIRC que envían una copia de gusano (archivo LIFE_STAGES.TXT.SHS) a todos los usuarios que se unen al canal de IRC infectado. En MIRC.INI, el archivo gusano agrega la referencia a SOUND32B.DLL en la sección "rfiles".

Otro

El gusano mueve el programa REGEDIT.EXE a la papelera de reciclaje con el nombre RECYCLED.VXD.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	VBS
Descripción	Detalles técnicos Este es el gusano de Internet que se encontró en estado salvaje a mediados de junio de 2000. El gusano se propaga por correo electrónico al enviar mensajes infectados desde las computadoras afectadas. Mientras se propaga, el gusano usa MS Outlook y se envía a las direcciones que se seleccionan al azar de la libreta de direcciones de MS Outlook. El gusano está escrito en el lenguaje de scripting "Visual Basic Script" (VBS). Funciona solo en computadoras en las que está instalado el Windows Scripting Host (WSH). En Windows 98 y Windows 2000, WHS está instalado por defecto. Para propagarse, el gusano accede a MS Outlook y usa sus funciones y listas de direcciones. Solo está disponible en Outlook 98/2000, por lo que el gusano solo se puede propagar en caso de que se instale una de estas versiones de MS Oulook. Cuando se ejecuta, el gusano envía sus copias por correo electrónico, se instala en el sistema y se copia en las unidades de red. El gusano también tiene la capacidad de propagarse a través de canales mIRC. El gusano contiene una cadena de "derechos de autor": 'MIRC / RED / PERSPECTIVA / PIRCH.ShellScrapWorm por SimpleSimon / Zulu Extensión El gusano llega a una computadora como un mensaje de correo electrónico con un archivo adjunto SHS que es un paquete de desechos con un gusano adentro. El asunto del mensaje puede ser diferente, y se combina a partir de tres conjuntos de cadenas: "Fw:", "" "Etapas de la vida", "Divertido", "Bromas" "texto", "" Ejemplos: Fw: Bromas Etapas de la vida Texto divertido El cuerpo del mensaje puede estar vacío o uno de estos está presente: > Las etapas de la vida masculina y femenina. > Las etapas de la vida masculina y femenina. Adiós. El mensaje tiene el archivo adjunto "LIFE_STAGES.TXT.SHS" que contiene el gusano dentro. Según la configuración del sistema, es posible que no se muestre la extensión real del archivo adjunto (".SHS"). En este caso, el nombre del archivo adjunto se muestra como "LIFE_STAGES.TXT". Al ser activado por un usuario (haciendo doble clic en el archivo adjunto), el paquete de desecho (archivo SHS) activa su contenido. Tan pronto como el archivo adjunto contiene el archivo VBS dentro, que contiene un programa de Visual Basic Script, este archivo se ejecuta y el script del gusano toma el control. El gusano crea un archivo de texto en el directorio temporal y lo muestra usando el editor de texto. El contenido del archivo es: – Las etapas masculinas de la vida: Años. Líneas de seducción 17 Mis padres están fuera el fin de semana. 25 Mi novia está fuera por el fin de semana. 35 Mi novia está fuera por el fin de semana. 48 Mi esposa está fuera por el fin de semana. 66 Mi segunda esposa está muerta. Años. Deporte favorito. 17 Sexo. 25 Sexo. 35 Sexo. 48 Sexo. 66 tomando una siesta. Años. Definiton de una fecha exitosa. 17 Lengua. 25 Desayuno. 35 Ella no retrasó mi terapia. 48 No tuve que conocer a sus hijos. 66 Llegué a casa vivo. – Las etapas femeninas de la vida: Años. Fantasía favorita. 17 Alto, oscuro y hansome. 25 Alto, oscuro y hansome con dinero. 35 Alto, oscuro y hansome con dinero y cerebro. 48 Un hombre con cabello. 66 Un hombre. Años. Fecha ideal. 17 Él ofrece pagar. 25 Él paga. 35 Él prepara el desayuno a la mañana siguiente. 48 Él prepara el desayuno a la mañana siguiente para los niños. 66 Él puede masticar su desayuno. Después de eso, el gusano abre MS Outlook, obtiene acceso a la libreta de direcciones, obtiene cientos de direcciones aleatorias de cada lista de direcciones y envía mensajes con su copia adjunta a todas ellas. El asunto del mensaje, el cuerpo y el nombre del archivo adjunto son los mismos que los mencionados anteriormente. El gusano también se instala en el sistema. Crea sus copias en directorios de Windows con los nombres: en el directorio de Windows: LIFE_STAGES.TXT.SHS en el directorio del sistema de Windows: MSINFO16.TLB en Recicle bin: MSRCYCLD.DAT Luego, el gusano crea sus copias con nombres aleatorios en directorios raíz de todos los discos duros locales y también en las carpetas "Programas" y "Mis documentos". Si existe una carpeta de inicio de Windows en la unidad de red, el gusano se copia allí. El gusano también suelta archivos: en el directorio del sistema de Windows: SCANREG.VBS – este gusano de archivo se registra en el registro del sistema en la sección de ejecución automática que se ejecutará en cada inicio de Windows: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesScanReg = "WSCRIPT.EXE SCANREG.VBS" – el gusano crea una copia de este archivo en la papelera de reciclaje: RCYCLDBN.DAT en el directorio de Windows: DBINDEX.VBS – Este archivo gusano se registra en el registro del sistema en la sección ICQ para ser ejecutado en cada inicio de ICQ: HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQEnable = "Sí" HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQParameters = "C: RECYCLEDDBINDEX.VBS" HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQPath = "WSCRIPT.EXE" HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQStartup = "C: WINDOWS" – el gusano crea una copia de este archivo en el directorio de sistema de Windows: VBASET.OLB Como resultado, el gusano se reactiva cada vez que Windows arranca o se inicia ICQ. Difundir a los canales de IRC El gusano escanea las unidades locales y busca un archivo MIRC.INI. En caso de que este archivo se encuentre en un subdirectorio, el gusano arroja allí un archivo SOUND32B.DLL. Este archivo contiene instrucciones mIRC que envían una copia de gusano (archivo LIFE_STAGES.TXT.SHS) a todos los usuarios que se unen al canal de IRC infectado. En MIRC.INI, el archivo gusano agrega la referencia a SOUND32B.DLL en la sección "rfiles". Otro El gusano mueve el programa REGEDIT.EXE a la papelera de reciclaje con el nombre RECYCLED.VXD.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.VBS.Scrapworm

Detalles técnicos

Extensión

Difundir a los canales de IRC

Otro