Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

IRC-Worm.Evion Evion es un gusano IRC que se propaga a través de canales IRC. El virus está escrito en Visual Basic Script (VBS). Sobrescribe los archivos .vbs y .html en todas las unidades locales y asignadas.

Instalación:
Cuando se ejecuta el gusano, hace lo siguiente:

Evion crea copias de sí mismo en el directorio raíz del disco C: en el archivo "Win32 Strt.exe.vbs" y en el archivo del directorio del sistema "BootLoader.exe.vbs", así como en el directorio raíz de Windows en los archivos "Chistes". .htm "y" Winupdate.exe "

Evion sobrescribe estos archivos existentes con copias de sí mismo:


 % Windir% Readme.htm
 % Windir% Htmlhelp.htm
 % System% Winhelp32.exe
 % Mirc% script.ini

Evion registra los archivos "BootLoader.exe.vbs" y "Win32 Strt.EXE" en la cadena de inicio automático del registro del sistema:

 HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun - (BootLoader.exe.vbs)
 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices - (Win32 Strt.EXE)

Extensión
Evion busca todos los archivos .vbs y sobrescribe los archivos .vbs existentes con copias de sí mismo. Los archivos que tienen las extensiones .htm, .html, .asp, .htx y .hta se reemplazan con la versión .HTML del gusano.

El archivo "Script.ini" es un programa mIRC corto que envía el archivo % Windir% Jokes.htm a todos los que ingresan a un canal infectado.

Carga útil
El gusano activa su carga útil tres días diferentes (15 de octubre, 23 de noviembre y 25 de diciembre) y muestra un cuadro de mensaje con los siguientes textos respectivos:


con el título del cuadro de mensaje "mi día b" y el texto "feliz cumpleaños kefi" - 15 de octubre
con el título del cuadro de mensaje "11/23!" y el texto "santo sh * t! es 11/23" - 23 de noviembre
con el título del cuadro de mensaje "kefi [rRlf]" y el texto "La religión organizada controla el mundo" - 25 de diciembre

En estos días de activación de carga útil, el gusano también crea 16 archivos de texto en la carpeta Inicio de Windows. El nombre de archivo usa el formato: StartupEvion (n) .txt, donde n está entre 0 y 15 (inclusive). Estos archivos contienen 50 cadenas de texto de texto generado aleatoriamente que se selecciona de estas tres líneas:

Has hecho y te has auto infectado con Vbs.Evion por kefi [rRlf] [rRlf] ownz joo bitch Catfish_VX son lamers. Este virus fue construido para que roban

En los días que no sean aquellos en los que se ejecuta la carga, se crea un documento de texto en el directorio de escritorio de Windows. El nombre de archivo utiliza el formato "Escritorio% día% -% mes% .vir.txt".

Estos archivos contienen el siguiente texto:

 hoy no experimentó la carga útil de Vbs.Evion
 lo siento..
 kefi [rRlf]

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	IRC-Worm
Plataforma	VBS
Descripción	Detalles técnicos IRC-Worm.Evion Evion es un gusano IRC que se propaga a través de canales IRC. El virus está escrito en Visual Basic Script (VBS). Sobrescribe los archivos .vbs y .html en todas las unidades locales y asignadas. Instalación: Cuando se ejecuta el gusano, hace lo siguiente: Evion crea copias de sí mismo en el directorio raíz del disco C: en el archivo "Win32 Strt.exe.vbs" y en el archivo del directorio del sistema "BootLoader.exe.vbs", así como en el directorio raíz de Windows en los archivos "Chistes". .htm "y" Winupdate.exe " Evion sobrescribe estos archivos existentes con copias de sí mismo: % Windir% Readme.htm % Windir% Htmlhelp.htm % System% Winhelp32.exe % Mirc% script.ini Evion registra los archivos "BootLoader.exe.vbs" y "Win32 Strt.EXE" en la cadena de inicio automático del registro del sistema: HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun - (BootLoader.exe.vbs) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices - (Win32 Strt.EXE) Extensión Evion busca todos los archivos .vbs y sobrescribe los archivos .vbs existentes con copias de sí mismo. Los archivos que tienen las extensiones .htm, .html, .asp, .htx y .hta se reemplazan con la versión .HTML del gusano. El archivo "Script.ini" es un programa mIRC corto que envía el archivo % Windir% Jokes.htm a todos los que ingresan a un canal infectado. Carga útil El gusano activa su carga útil tres días diferentes (15 de octubre, 23 de noviembre y 25 de diciembre) y muestra un cuadro de mensaje con los siguientes textos respectivos: con el título del cuadro de mensaje "mi día b" y el texto "feliz cumpleaños kefi" - 15 de octubre con el título del cuadro de mensaje "11/23!" y el texto "santo sh * t! es 11/23" - 23 de noviembre con el título del cuadro de mensaje "kefi [rRlf]" y el texto "La religión organizada controla el mundo" - 25 de diciembre En estos días de activación de carga útil, el gusano también crea 16 archivos de texto en la carpeta Inicio de Windows. El nombre de archivo usa el formato: StartupEvion (n) .txt, donde n está entre 0 y 15 (inclusive). Estos archivos contienen 50 cadenas de texto de texto generado aleatoriamente que se selecciona de estas tres líneas: Has hecho y te has auto infectado con Vbs.Evion por kefi [rRlf] [rRlf] ownz joo bitch Catfish_VX son lamers. Este virus fue construido para que roban En los días que no sean aquellos en los que se ejecuta la carga, se crea un documento de texto en el directorio de escritorio de Windows. El nombre de archivo utiliza el formato "Escritorio% día% -% mes% .vir.txt". Estos archivos contienen el siguiente texto: hoy no experimentó la carga útil de Vbs.Evion lo siento.. kefi [rRlf]
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

IRC-Worm.VBS.Evion

Detalles técnicos