Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un virus-gusano que se propaga a través de Internet adjunto a correos electrónicos infectados. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 97 Kb de longitud (comprimido por UPX, aproximadamente 132 KB cuando se descomprime), y está escrito en Visual Basic.

Extensión

Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook. Los mensajes infectados aparecen de la siguiente manera:

El sujeto se selecciona al azar de las siguientes variantes:

Admirador secreto
Alguien te ama
Romance de Afar
Amor a primera vista
… cuando los durmientes despiertan y todavía sueñan …
¡Sé mío!
Tuyo siempre
Feliz San Valentín
De mi para ti
Tu eterno verano no se desvanecerá
No puedo expresar un signo más amable de amor, que este amable beso
La poesía es un eco, pidiendo a una sombra bailar
¡Oh, belleza, hasta ahora, nunca te conocí!
Gesto romántico
Buenas noches, dulce príncipe, y vuelos de ángeles cantan para tu descanso

El cuerpo del mensaje, seguido de un "nombre de usuario", se selecciona de las siguientes variantes:

Feliz San Valentín
Espero que te guste la tarjeta que adjunté,
incluso si no sientes lo mismo.

Sentimientos de febrero
Es esa época del año otra vez.
Pero todavía te estoy sacando una carta.
Feliz San Valentín
Espero que te guste la tarjeta que adjunté,
incluso si no sientes lo mismo.

Hola
Me siento como un niño que te envía esta tarjeta
pero solo tenía que hacerlo.
Feliz San Valentín
Espero que te guste la tarjeta que adjunté,
incluso si no sientes lo mismo.

… y cada aliento que tomé,
cada lágrima que alguna vez lloré
Cada estrella que deseé,
Parecía nada hasta ahora.
Feliz San Valentín
Espero que te guste la tarjeta que adjunté,

En esta vida no podemos hacer grandes cosas.
Solo podemos hacer pequeñas cosas con gran amor.
Feliz San Valentín
Espero que te guste la tarjeta que adjunté,
incluso si no sientes lo mismo.

Adjunto : ValentineCard.exe

Instalación

El gusano se activa desde el correo electrónico infectado solo cuando un usuario hace clic en un archivo adjunto. El gusano se instala en el sistema, ejecuta una rutina de propagación y una carga útil.

Durante la instalación, el gusano se copia en el directorio de sistema de Windows con el nombre "ValentineCard.exe" y registra ese archivo en la clave de ejecución automática del registro del sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun 14th =% SystemDir% ValentineCard.exe

donde% SystemDir% es el directorio del sistema de Windows.

Carga útil

Al ser instalado, el gusano escribe una clave de registro "no es una primera ejecución":

HKLMSoftwareMicrosoftWindowsCurrentVersion Valentine = true

y luego opera dependiendo de la presencia de esta clave. Debido a un error, en cualquier ejecución (primera ejecución, segunda ejecución, …), el gusano hace lo mismo: crea "C: evil.jpg", escribe datos de sonido allí y lo abre. Como el archivo tiene una extensión incorrecta (imagen ".jpg", no sonido ".wav"), el sistema no lo acepta. En caso de que este archivo se renombre como ".wav", se reproducirá la frase "Alguien te ama".

El gusano también debería (pero falla) crear el archivo "C: 1.wav" y abrir su ventana. La ventana del programa del gusano debe tener un título en movimiento:

Te amo !

en el botón "Acerca de", debería mostrar el siguiente mensaje:

Reproductor Flash
Flash Player 4.0
Copywrite (C) 1996-1999 Macromedia, Inc.
http://www.macromedia.com

Los jueves, el gusano debería (pero falla) reiniciar Windows.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un virus-gusano que se propaga a través de Internet adjunto a correos electrónicos infectados. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 97 Kb de longitud (comprimido por UPX, aproximadamente 132 KB cuando se descomprime), y está escrito en Visual Basic. Extensión Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook. Los mensajes infectados aparecen de la siguiente manera: El sujeto se selecciona al azar de las siguientes variantes: Admirador secreto Alguien te ama Romance de Afar Amor a primera vista … cuando los durmientes despiertan y todavía sueñan … ¡Sé mío! Tuyo siempre Feliz San Valentín De mi para ti Tu eterno verano no se desvanecerá No puedo expresar un signo más amable de amor, que este amable beso La poesía es un eco, pidiendo a una sombra bailar ¡Oh, belleza, hasta ahora, nunca te conocí! Gesto romántico Buenas noches, dulce príncipe, y vuelos de ángeles cantan para tu descanso El cuerpo del mensaje, seguido de un "nombre de usuario", se selecciona de las siguientes variantes: Feliz San Valentín Espero que te guste la tarjeta que adjunté, incluso si no sientes lo mismo. Sentimientos de febrero Es esa época del año otra vez. Pero todavía te estoy sacando una carta. Feliz San Valentín Espero que te guste la tarjeta que adjunté, incluso si no sientes lo mismo. Hola Me siento como un niño que te envía esta tarjeta pero solo tenía que hacerlo. Feliz San Valentín Espero que te guste la tarjeta que adjunté, incluso si no sientes lo mismo. … y cada aliento que tomé, cada lágrima que alguna vez lloré Cada estrella que deseé, Parecía nada hasta ahora. Feliz San Valentín Espero que te guste la tarjeta que adjunté, En esta vida no podemos hacer grandes cosas. Solo podemos hacer pequeñas cosas con gran amor. Feliz San Valentín Espero que te guste la tarjeta que adjunté, incluso si no sientes lo mismo. Adjunto : ValentineCard.exe Instalación El gusano se activa desde el correo electrónico infectado solo cuando un usuario hace clic en un archivo adjunto. El gusano se instala en el sistema, ejecuta una rutina de propagación y una carga útil. Durante la instalación, el gusano se copia en el directorio de sistema de Windows con el nombre "ValentineCard.exe" y registra ese archivo en la clave de ejecución automática del registro del sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionRun 14th =% SystemDir% ValentineCard.exe donde% SystemDir% es el directorio del sistema de Windows. Carga útil Al ser instalado, el gusano escribe una clave de registro "no es una primera ejecución": HKLMSoftwareMicrosoftWindowsCurrentVersion Valentine = true y luego opera dependiendo de la presencia de esta clave. Debido a un error, en cualquier ejecución (primera ejecución, segunda ejecución, …), el gusano hace lo mismo: crea "C: evil.jpg", escribe datos de sonido allí y lo abre. Como el archivo tiene una extensión incorrecta (imagen ".jpg", no sonido ".wav"), el sistema no lo acepta. En caso de que este archivo se renombre como ".wav", se reproducirá la frase "Alguien te ama". El gusano también debería (pero falla) crear el archivo "C: 1.wav" y abrir su ventana. La ventana del programa del gusano debe tener un título en movimiento: Te amo ! en el botón "Acerca de", debería mostrar el siguiente mensaje: Reproductor Flash Flash Player 4.0 Copywrite (C) 1996-1999 Macromedia, Inc. http://www.macromedia.com Los jueves, el gusano debería (pero falla) reiniciar Windows.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Valcard

Detalles técnicos