ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

IRC-Worm.VBS.Evion

Clase IRC-Worm
Plataforma VBS
Descripción

Detalles técnicos

IRC-Worm.Evion Evion es un gusano IRC que se propaga a través de canales IRC. El virus está escrito en Visual Basic Script (VBS). Sobrescribe los archivos .vbs y .html en todas las unidades locales y asignadas.

Instalación:
Cuando se ejecuta el gusano, hace lo siguiente:

Evion crea copias de sí mismo en el directorio raíz del disco C: en el archivo "Win32 Strt.exe.vbs" y en el archivo del directorio del sistema "BootLoader.exe.vbs", así como en el directorio raíz de Windows en los archivos "Chistes". .htm "y" Winupdate.exe "

Evion sobrescribe estos archivos existentes con copias de sí mismo:


 % Windir% Readme.htm
 % Windir% Htmlhelp.htm
 % System% Winhelp32.exe
 % Mirc% script.ini

Evion registra los archivos "BootLoader.exe.vbs" y "Win32 Strt.EXE" en la cadena de inicio automático del registro del sistema:

 HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun - (BootLoader.exe.vbs)
 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices - (Win32 Strt.EXE)

Extensión
Evion busca todos los archivos .vbs y sobrescribe los archivos .vbs existentes con copias de sí mismo. Los archivos que tienen las extensiones .htm, .html, .asp, .htx y .hta se reemplazan con la versión .HTML del gusano.

El archivo "Script.ini" es un programa mIRC corto que envía el archivo % Windir% Jokes.htm a todos los que ingresan a un canal infectado.

Carga útil
El gusano activa su carga útil tres días diferentes (15 de octubre, 23 de noviembre y 25 de diciembre) y muestra un cuadro de mensaje con los siguientes textos respectivos:


con el título del cuadro de mensaje "mi día b" y el texto "feliz cumpleaños kefi" - 15 de octubre
con el título del cuadro de mensaje "11/23!" y el texto "santo sh * t! es 11/23" - 23 de noviembre
con el título del cuadro de mensaje "kefi [rRlf]" y el texto "La religión organizada controla el mundo" - 25 de diciembre

En estos días de activación de carga útil, el gusano también crea 16 archivos de texto en la carpeta Inicio de Windows. El nombre de archivo usa el formato: StartupEvion (n) .txt, donde n está entre 0 y 15 (inclusive). Estos archivos contienen 50 cadenas de texto de texto generado aleatoriamente que se selecciona de estas tres líneas:

Has hecho y te has auto infectado con Vbs.Evion por kefi [rRlf] [rRlf] ownz joo bitch Catfish_VX son lamers. Este virus fue construido para que roban

En los días que no sean aquellos en los que se ejecuta la carga, se crea un documento de texto en el directorio de escritorio de Windows. El nombre de archivo utiliza el formato "Escritorio% día% -% mes% .vir.txt".

Estos archivos contienen el siguiente texto:

 hoy no experimentó la carga útil de Vbs.Evion
 lo siento..
 kefi [rRlf]


Enlace al original