ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Vybab

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este gusano se propaga a través de Internet como un archivo adjunto a los mensajes infectados. También puede infectar archivos EXE.

Es un archivo PE EXE escrito en Borland Delphi y tiene un tamaño aproximado de 140 KB.

Instalación

Al instalarse en el sistema, el gusano crea un archivo llamado 123.txt en el directorio de Windows. Este archivo contiene la siguiente cadena de texto:

 babyv; hecho de Ran 

También crea archivos en el directorio raíz y el directorio de Windows. Los nombres de estos archivos se crean a partir de tres caracteres aleatorios y una de las siguientes extensiones:

 murciélago
exe
htm
rar
doc
xls 

Estos archivos no contienen el cuerpo del gusano.

El gusano se copia en un archivo temporal llamado seeyou.rar en el directorio C: raíz.

También crea un archivo llamado echo.vbs en el directorio temporal de Windows. Este archivo contiene la secuencia de comandos que permite que el gusano se propague por correo electrónico.

Propagación por correo electrónico

Cada vez que se inicia el gusano o uno de los archivos infectados, el gusano se envía a todas las direcciones en la libreta de direcciones de MS Outlook. Los correos electrónicos infectados tienen las siguientes características:

Encabezado del mensaje:

 Microsoft Pack3,; o) 

Mensaje de texto:

 Hola:
Este es el centro de servidor de cliente de Microsoft
¡Mira esto! 

Infectar archivos EXE

Cuando se lanza el gusano por primera vez, infecta los archivos EXE ubicados en el directorio Archivos de programa y en el directorio desde el que se inició el gusano. Se escribe al comienzo de esos archivos.

Después de esto, el gusano busca todos los directorios en todas las unidades accesibles e infecta todos los archivos EXE encontrados.

Cuando se inicia un archivo infectado, el virus se copia en el directorio raíz de cada disco disponible y se envía por correo electrónico. El archivo original no infectado se guarda en el directorio temporal de Windows y restablecerá el control una vez que el gusano termine el proceso de infección.


Enlace al original