ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Clase | Email-Worm |
Plataforma | VBS |
Descripción |
Detalles técnicosEste gusano de Internet se propaga a través del correo electrónico mediante el envío de mensajes infectados desde las computadoras afectadas. Mientras se propaga, el gusano usa MS Outlook y se envía a todas las direcciones que están almacenadas en la libreta de direcciones de MS Outlook. Como resultado, una computadora infectada envía tantos mensajes a tantas direcciones almacenadas en la lista de contactos de MS Outlook. El gusano está escrito en el lenguaje de scripting "Visual Basic Script" (VBS). Funciona solo en computadoras en las que se instaló el Windows Scripting Host (WSH). En Windows 98 y Windows 2000, WHS está instalado por defecto. Para propagarse, el gusano accede a MS Outlook y usa sus funciones y listas de direcciones. Esto solo está disponible en Outlook 98/2000, por lo que el gusano solo se puede propagar en caso de que se instale una de estas versiones de MS Outlook. Cuando se ejecuta, el gusano envía sus copias por correo electrónico y descarta un programa troyano. ExtensiónEl gusano llega a una computadora como un mensaje de correo electrónico con un archivo VBS adjunto que es el mismo gusano. El mensaje contiene lo siguiente: El Asunto :
Cuerpo del mensaje :
Nombre de archivo adjunto :
Según la configuración del sistema, es posible que no se muestre la extensión real del archivo adjunto (".vbs"). En este caso, un nombre de archivo del archivo adjunto se muestra como "TIMOFONICA.TXT". Al ser activado por un usuario (al hacer doble clic en el archivo adjunto), el gusano abre MS Outlook, accede a la libreta de direcciones, recupera todas las direcciones y envía mensajes con su copia adjunta a todas ellas. El asunto del mensaje, el cuerpo y el nombre del archivo adjunto son los mismos que los de arriba. Además, en cada mensaje infectado enviado, el gusano envía otro mensaje a una dirección generada aleatoriamente (numérica) en el servidor "correo.movistar.net", por ejemplo "639867159@correo.movistar.net". El mensaje contiene lo siguiente: Asunto :
Cuerpo :
En realidad, el "correo.movistar.net" es una puerta de mensajes SMS que envía mensajes SMS a números telefónicos. El número es el prefijo de la dirección de correo electrónico en el mensaje. Como resultado, el gusano intenta enviar spam a las personas con mensajes SMS. El gusano envía tantos mensajes SMS a números seleccionados al azar como correos electrónicos almacenados en la libreta de direcciones (el gusano envía un mensaje SMS por cada mensaje infectado de correo electrónico), también instalando un programa troyano. Instalar un programa troyanoPara instalar el programa troyano en el sistema, el gusano crea un archivo "Cmos.com" en el directorio del sistema de Windows y escribe un código (almacenado en el cuerpo de los gusanos) en el archivo. El gusano registra este archivo en el registro del sistema en la sección de ejecución automática:
Durante el próximo inicio de Windows, el troyano toma el control, borra la información CMOS y corrompe la información en los discos locales. El gusano crea el archivo "C: TIMOFONICA.TXT" con el siguiente contenido:
Luego, el gusano modifica el registro del sistema para mostrar este contenido del archivo (en la ventana del Bloc de notas) en lugar de ejecutar cualquier archivo VBS. Para restablecer la funcionalidad normal para la asociación de archivos VBS, puede ejecutar en la ventana del símbolo del sistema las siguientes instrucciones: WSCRIPT // H: WSCRIPT |
Enlace al original |
|
Descubra las estadísticas de las amenazas que se propagan en su región |