ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Valcard

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un virus-gusano que se propaga a través de Internet adjunto a correos electrónicos infectados. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 97 Kb de longitud (comprimido por UPX, aproximadamente 132 KB cuando se descomprime), y está escrito en Visual Basic.

Extensión

Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook. Los mensajes infectados aparecen de la siguiente manera:

El sujeto se selecciona al azar de las siguientes variantes:

Admirador secreto
Alguien te ama
Romance de Afar
Amor a primera vista
… cuando los durmientes despiertan y todavía sueñan …
¡Sé mío!
Tuyo siempre
Feliz San Valentín
De mi para ti
Tu eterno verano no se desvanecerá
No puedo expresar un signo más amable de amor, que este amable beso
La poesía es un eco, pidiendo a una sombra bailar
¡Oh, belleza, hasta ahora, nunca te conocí!
Gesto romántico
Buenas noches, dulce príncipe, y vuelos de ángeles cantan para tu descanso

El cuerpo del mensaje, seguido de un "nombre de usuario", se selecciona de las siguientes variantes:

Feliz San Valentín
Espero que te guste la tarjeta que adjunté,
incluso si no sientes lo mismo.

Sentimientos de febrero
Es esa época del año otra vez.
Pero todavía te estoy sacando una carta.
Feliz San Valentín
Espero que te guste la tarjeta que adjunté,
incluso si no sientes lo mismo.

Hola
Me siento como un niño que te envía esta tarjeta
pero solo tenía que hacerlo.
Feliz San Valentín
Espero que te guste la tarjeta que adjunté,
incluso si no sientes lo mismo.

… y cada aliento que tomé,
cada lágrima que alguna vez lloré
Cada estrella que deseé,
Parecía nada hasta ahora.
Feliz San Valentín
Espero que te guste la tarjeta que adjunté,

En esta vida no podemos hacer grandes cosas.
Solo podemos hacer pequeñas cosas con gran amor.
Feliz San Valentín
Espero que te guste la tarjeta que adjunté,
incluso si no sientes lo mismo.

Adjunto : ValentineCard.exe

Instalación

El gusano se activa desde el correo electrónico infectado solo cuando un usuario hace clic en un archivo adjunto. El gusano se instala en el sistema, ejecuta una rutina de propagación y una carga útil.

Durante la instalación, el gusano se copia en el directorio de sistema de Windows con el nombre "ValentineCard.exe" y registra ese archivo en la clave de ejecución automática del registro del sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun 14th =% SystemDir% ValentineCard.exe

donde% SystemDir% es el directorio del sistema de Windows.

Carga útil

Al ser instalado, el gusano escribe una clave de registro "no es una primera ejecución":

HKLMSoftwareMicrosoftWindowsCurrentVersion Valentine = true

y luego opera dependiendo de la presencia de esta clave. Debido a un error, en cualquier ejecución (primera ejecución, segunda ejecución, …), el gusano hace lo mismo: crea "C: evil.jpg", escribe datos de sonido allí y lo abre. Como el archivo tiene una extensión incorrecta (imagen ".jpg", no sonido ".wav"), el sistema no lo acepta. En caso de que este archivo se renombre como ".wav", se reproducirá la frase "Alguien te ama".

El gusano también debería (pero falla) crear el archivo "C: 1.wav" y abrir su ventana. La ventana del programa del gusano debe tener un título en movimiento:

Te amo !

en el botón "Acerca de", debería mostrar el siguiente mensaje:

Reproductor Flash
Flash Player 4.0
Copywrite (C) 1996-1999 Macromedia, Inc.
http://www.macromedia.com

Los jueves, el gusano debería (pero falla) reiniciar Windows.


Enlace al original