Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este macro virus contiene una macro que tiene diferentes nombres automáticos en documentos infectados ("Document_Open") y en el área de macros globales (NORMAL.DOT – "Document_Close"). Como resultado, el virus se activa al abrir y cerrar el documento. Infecta el área de macros global al abrir el documento infectado y se propaga a otros documentos al cerrarse.

Al infectar, el virus también desactiva la protección de virus de macros de Word (advertencia de virus), así como también deshabilita los menús de Word: "Herramientas / Macro", "Herramientas / Personalizar …", "Ver / Barras de herramientas", "Ver / Estado" Bar".

El virus tiene una línea de comentarios utilizada por el virus para separar los documentos infectados y no infectados. Este texto aparece de la siguiente manera:



Jack-In-The-Box

El virus tiene capacidad de gusano y distribuye su copia a través de canales IRC. Para hacer esto, el virus-gusano busca el cliente mIRC instalado en un sistema, y crea un nuevo archivo SCRIPT.INI allí. El virus busca el cliente mIRC en un solo directorio, C: MIRC, y no infecta el mIRC en el caso cuando está instalado en cualquier otro directorio. Al infectar el cliente mIRC, el virus también desactiva sus mensajes de advertencia de seguridad. Para propagarse a través de los canales IRC, el virus envía el documento infectado C: WINDOWSSTORY.DOC que es creado por el virus cuando infecta un sistema. El virus simplemente guarda el documento actual (infectado) allí.

El archivo de script del virus contiene un conjunto de comandos mIRC (aproximadamente 4,5 Kb de instrucciones mIRC) que realizan muchas funciones, incluida la difusión a través de canales, visualización de mensajes, envío de mensajes spam y ocultación.

El virus envía su copia (el documento STORY.DOC) en tres instancias:

instancia 1. Al recibir cualquier archivo de cualquier persona a través de IRC, el script de virus devuelve inmediatamente el archivo infectado STORY.DOC.

instancia 2. El virus usa la lista de notificación de mIRC. La lista de notificaciones en el cliente mIRC contiene una lista de nicks, y en el caso de que cualquiera de estos nicks aparezca en la red, el cliente actual es informado de esto (recibe una notificación). En el caso de que un cliente mIRC afectado reciba una notificación sobre dicha persona, el virus realiza lo siguiente: elimina este alias de la lista de notificaciones; ignora todos los mensajes de este nick; y en 5 segundos, envía un mensaje, que a su vez es seguido 15 segundos después por una copia del virus (documento infectado de Word – C: WINDOWSSTORY.DOC). El mensaje que se envía al nick aparece de la siguiente manera:



Oye, no puedo hablar ahora, pero quería enviarte este archivo. Tiene un

historia divertida que deberías leer, y también tiene macros dentro que te protegen

de muchos virus Solo abra el documento, habilite las macros, y si

usted está infectado, se deshará del virus

instancia 3. Al recibir el comando "Invitar" desde cualquier nick, el script del virus, dentro de 10 segundos, se une a este canal y luego envía el mensaje a esta persona seguido del mismo archivo infectado STORY.DOC:



Gracias por la invitación

Estoy un poco ocupado, así que no puedo hablar mucho ahora. Pensé que querrías

mira este archivo que tengo. Tiene una historia divertida y también tiene macros en ella

que eliminan cualquier macro virus. Simplemente habilite las macros cuando el

aparece el aviso y buscará virus y los limpiará.

El virus también parece informar a su autor sobre su actividad. Al conectarse al servidor mIRC, el virus agrega un nick "SimpleSmn" a la lista de notificaciones – se notificará al mIRC afectado si aparece dicho nick en la red IRC. El cliente mIRC infectado luego detecta cuando aparece una persona con un nick "SimpleSmn" en la red IRC. En este caso, el virus informa a esta persona con el mensaje "Estoy en IRC", por lo que el virus informa a su autor sobre las computadoras infectadas en línea.

Con un comando "Aviso" del alias "Simplicidad", el virus abre la unidad C: en la computadora infectada como servidor de archivos (con acceso completo), por lo que el virus tiene capacidad de puerta trasera.

Al conectarse al servidor IRC, el virus oculta su script y lo restaura al desconectarse: al conectarse, copia SCRIPT.INI del directorio C: MIRC al archivo C: WINDOWSSCRIPT1.INI, lo vuelve a cargar en el cliente mIRC y luego lo borra el contenido C: MIRCSCRIPT.INI. Al desconectarse, el virus copia C: WINDOWSSCRIPT1.INI de vuelta a C: MIRCSCRIPT.INI y borra el archivo C: WINDOWSSCRIPT1.INI.

En caso de que el cliente afectado ingrese un canal que tenga sub-cadenas "help" o "nohack" en el nombre del canal, la secuencia de comandos del virus sale inmediatamente de este canal.

El virus desactiva cualquier mensaje de cualquier usuario en un canal, si envía un mensaje que tenga cualquiera de las siguientes cadenas:



script gusano virus infectar a Jack Box macro Story.doc

Si un cliente infectado ingresa un comando de IRC personalizado "/ BY" (agregado por secuencia de comandos), el virus muestra el texto:



Mirc Worm Jack-In-The-Box

Por SimpleSimon

Si los textos son "Hola", "!", "Hola" o "Hola", el virus abre uno de los antivirus y otras direcciones de Internet que tienen un servidor de correo con capacidad de retransmisión pública abierta:



mirc.com, georgecarlin.com, carrottop.com, anvdesign.net, symantec.com,

drsolomon.com, www.bocklabs.wisc.edu, ebay.com

y busca el sistema SendMail permitido allí. Si está disponible, el virus, al usar este servidor de correo electrónico, envía mensajes de correo no deseado con los siguientes campos:



correo de: Addr1@Addr2.com

rcpt a: Addr3

a: Addr3

de: Addr1@Addr2.com

Asunto: RndText

Cuerpo del mensaje: ¡Jack-In-The-Box ha aparecido nuevamente!

donde Addr1 y Addr2 son cadenas de texto generadas aleatoriamente de hasta ocho letras de tamaño, RndText es texto generado aleatoriamente de hasta 50 símbolos de la longitud, y Addr3 se selecciona aleatoriamente de la lista:



evrt@avp.com

samples@datafellows.com

virus_research@nai.com

tech_support@nai.com

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Virus
Plataforma	MSWord
Descripción	Detalles técnicos Este macro virus contiene una macro que tiene diferentes nombres automáticos en documentos infectados ("Document_Open") y en el área de macros globales (NORMAL.DOT – "Document_Close"). Como resultado, el virus se activa al abrir y cerrar el documento. Infecta el área de macros global al abrir el documento infectado y se propaga a otros documentos al cerrarse. Al infectar, el virus también desactiva la protección de virus de macros de Word (advertencia de virus), así como también deshabilita los menús de Word: "Herramientas / Macro", "Herramientas / Personalizar …", "Ver / Barras de herramientas", "Ver / Estado" Bar". El virus tiene una línea de comentarios utilizada por el virus para separar los documentos infectados y no infectados. Este texto aparece de la siguiente manera: Jack-In-The-Box El virus tiene capacidad de gusano y distribuye su copia a través de canales IRC. Para hacer esto, el virus-gusano busca el cliente mIRC instalado en un sistema, y crea un nuevo archivo SCRIPT.INI allí. El virus busca el cliente mIRC en un solo directorio, C: MIRC, y no infecta el mIRC en el caso cuando está instalado en cualquier otro directorio. Al infectar el cliente mIRC, el virus también desactiva sus mensajes de advertencia de seguridad. Para propagarse a través de los canales IRC, el virus envía el documento infectado C: WINDOWSSTORY.DOC que es creado por el virus cuando infecta un sistema. El virus simplemente guarda el documento actual (infectado) allí. El archivo de script del virus contiene un conjunto de comandos mIRC (aproximadamente 4,5 Kb de instrucciones mIRC) que realizan muchas funciones, incluida la difusión a través de canales, visualización de mensajes, envío de mensajes spam y ocultación. El virus envía su copia (el documento STORY.DOC) en tres instancias: instancia 1. Al recibir cualquier archivo de cualquier persona a través de IRC, el script de virus devuelve inmediatamente el archivo infectado STORY.DOC. instancia 2. El virus usa la lista de notificación de mIRC. La lista de notificaciones en el cliente mIRC contiene una lista de nicks, y en el caso de que cualquiera de estos nicks aparezca en la red, el cliente actual es informado de esto (recibe una notificación). En el caso de que un cliente mIRC afectado reciba una notificación sobre dicha persona, el virus realiza lo siguiente: elimina este alias de la lista de notificaciones; ignora todos los mensajes de este nick; y en 5 segundos, envía un mensaje, que a su vez es seguido 15 segundos después por una copia del virus (documento infectado de Word – C: WINDOWSSTORY.DOC). El mensaje que se envía al nick aparece de la siguiente manera: Oye, no puedo hablar ahora, pero quería enviarte este archivo. Tiene un historia divertida que deberías leer, y también tiene macros dentro que te protegen de muchos virus Solo abra el documento, habilite las macros, y si usted está infectado, se deshará del virus instancia 3. Al recibir el comando "Invitar" desde cualquier nick, el script del virus, dentro de 10 segundos, se une a este canal y luego envía el mensaje a esta persona seguido del mismo archivo infectado STORY.DOC: Gracias por la invitación Estoy un poco ocupado, así que no puedo hablar mucho ahora. Pensé que querrías mira este archivo que tengo. Tiene una historia divertida y también tiene macros en ella que eliminan cualquier macro virus. Simplemente habilite las macros cuando el aparece el aviso y buscará virus y los limpiará. El virus también parece informar a su autor sobre su actividad. Al conectarse al servidor mIRC, el virus agrega un nick "SimpleSmn" a la lista de notificaciones – se notificará al mIRC afectado si aparece dicho nick en la red IRC. El cliente mIRC infectado luego detecta cuando aparece una persona con un nick "SimpleSmn" en la red IRC. En este caso, el virus informa a esta persona con el mensaje "Estoy en IRC", por lo que el virus informa a su autor sobre las computadoras infectadas en línea. Con un comando "Aviso" del alias "Simplicidad", el virus abre la unidad C: en la computadora infectada como servidor de archivos (con acceso completo), por lo que el virus tiene capacidad de puerta trasera. Al conectarse al servidor IRC, el virus oculta su script y lo restaura al desconectarse: al conectarse, copia SCRIPT.INI del directorio C: MIRC al archivo C: WINDOWSSCRIPT1.INI, lo vuelve a cargar en el cliente mIRC y luego lo borra el contenido C: MIRCSCRIPT.INI. Al desconectarse, el virus copia C: WINDOWSSCRIPT1.INI de vuelta a C: MIRCSCRIPT.INI y borra el archivo C: WINDOWSSCRIPT1.INI. En caso de que el cliente afectado ingrese un canal que tenga sub-cadenas "help" o "nohack" en el nombre del canal, la secuencia de comandos del virus sale inmediatamente de este canal. El virus desactiva cualquier mensaje de cualquier usuario en un canal, si envía un mensaje que tenga cualquiera de las siguientes cadenas: script gusano virus infectar a Jack Box macro Story.doc Si un cliente infectado ingresa un comando de IRC personalizado "/ BY" (agregado por secuencia de comandos), el virus muestra el texto: Mirc Worm Jack-In-The-Box Por SimpleSimon Si los textos son "Hola", "!", "Hola" o "Hola", el virus abre uno de los antivirus y otras direcciones de Internet que tienen un servidor de correo con capacidad de retransmisión pública abierta: mirc.com, georgecarlin.com, carrottop.com, anvdesign.net, symantec.com, drsolomon.com, www.bocklabs.wisc.edu, ebay.com y busca el sistema SendMail permitido allí. Si está disponible, el virus, al usar este servidor de correo electrónico, envía mensajes de correo no deseado con los siguientes campos: correo de: Addr1@Addr2.com rcpt a: Addr3 a: Addr3 de: Addr1@Addr2.com Asunto: RndText Cuerpo del mensaje: ¡Jack-In-The-Box ha aparecido nuevamente! donde Addr1 y Addr2 son cadenas de texto generadas aleatoriamente de hasta ocho letras de tamaño, RndText es texto generado aleatoriamente de hasta 50 símbolos de la longitud, y Addr3 se selecciona aleatoriamente de la lista: evrt@avp.com samples@datafellows.com virus_research@nai.com tech_support@nai.com
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Virus.MSWord.Story

Detalles técnicos