Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un gusano de Internet escrito en lenguaje de Escritura de Visual Basic (VBS). Se propaga utilizando MS Outlook Express.

Este gusano se propaga por correo electrónico al enviar mensajes infectados desde computadoras infectadas. Mientras se propaga, el gusano usa MS Outlook Express y se envía a todas las direcciones almacenadas en la libreta de direcciones de Windows. Como resultado, una computadora infectada envía tantos mensajes a tantas direcciones guardadas en la Libreta de direcciones de Windows.

Funciona solo en computadoras en las que está instalado el Windows Scripting Host (WSH). En Windows 98 y Windows 2000, WHS está instalado por defecto.

El gusano llega a una computadora como un mensaje de correo electrónico con el archivo adjunto "www.symantec.com.vbs" que es el mismo gusano.

El mensaje infectado en la versión original del gusano contiene:

Subject = "FW: Advertencia de Symantec Anti-Virus"
Cuerpo = —– Mensaje original —–
De: [warning@symantec.com]
Para: [supervisor@av.net]; [security@softtools.com];
[mark_fyston@storess.net]; [directorcut@ufp.com];
[pjeterov@goldenhit.org>; [kim_di_yung@freeland.ch];
[james.heart@macrosoft.com]
Asunto: FW: Advertencia de Symantec Anti-Virus

Hola,
Hay un nuevo gusano en la red.
¡Este gusano se propaga muy rápido y es muy peligroso!

Symantec lo notó por primera vez el 4 de abril de 2001.

El archivo adjunto es una descripción del gusano y cómo se replica.

Con saludos,
F. Jones
Desarrollador sénior de Symantec

Tras la activación, el gusano crea una página de información falsa del virus de Symantec sobre el virus "VBS.AmericanHistoryX_II@mm" y la muestra. A continuación, crea varios archivos que se utilizan más adelante para la difusión.

El primer archivo se llama "c: www.symantec_send.vbs" y contiene secuencias de comandos de Visual Basic que indican a MS Outlook Express que envíe mensajes infectados a todas las direcciones de la libreta de direcciones de Windows.

El segundo archivo "c: message.vbs" contiene Visual Basic Script que el 24 de noviembre muestra el siguiente mensaje:

Algunas noticias impactantes
¡No te veas sorprendido!
Es solo una advertencia sobre tu estupidez
¡Cuídate!

Ambos archivos están registrados por el gusano en el registro del sistema en la sección de ejecución automática. Por lo tanto, estos scripts obtienen control sobre cada inicio de Windows.

El gusano también registra una página de información de virus falso como la página de inicio de Internet Explorer.

Para evitar la propagación duplicada desde la misma máquina, el gusano crea "HKLMSOFTWAREMicrosoftWABOE Done" en la clave de registro del sistema y establece su valor en "Hardhead_SatanikChild". De esta forma, no se propaga desde la misma máquina dos veces.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Virus
Plataforma	VBS
Descripción	Detalles técnicos Este es un gusano de Internet escrito en lenguaje de Escritura de Visual Basic (VBS). Se propaga utilizando MS Outlook Express. Este gusano se propaga por correo electrónico al enviar mensajes infectados desde computadoras infectadas. Mientras se propaga, el gusano usa MS Outlook Express y se envía a todas las direcciones almacenadas en la libreta de direcciones de Windows. Como resultado, una computadora infectada envía tantos mensajes a tantas direcciones guardadas en la Libreta de direcciones de Windows. Funciona solo en computadoras en las que está instalado el Windows Scripting Host (WSH). En Windows 98 y Windows 2000, WHS está instalado por defecto. El gusano llega a una computadora como un mensaje de correo electrónico con el archivo adjunto "www.symantec.com.vbs" que es el mismo gusano. El mensaje infectado en la versión original del gusano contiene: Subject = "FW: Advertencia de Symantec Anti-Virus" Cuerpo = —– Mensaje original —– De: [warning@symantec.com] Para: [supervisor@av.net]; [security@softtools.com]; [mark_fyston@storess.net]; [directorcut@ufp.com]; [pjeterov@goldenhit.org>; [kim_di_yung@freeland.ch]; [james.heart@macrosoft.com] Asunto: FW: Advertencia de Symantec Anti-Virus Hola, Hay un nuevo gusano en la red. ¡Este gusano se propaga muy rápido y es muy peligroso! Symantec lo notó por primera vez el 4 de abril de 2001. El archivo adjunto es una descripción del gusano y cómo se replica. Con saludos, F. Jones Desarrollador sénior de Symantec Tras la activación, el gusano crea una página de información falsa del virus de Symantec sobre el virus "VBS.AmericanHistoryX_II@mm" y la muestra. A continuación, crea varios archivos que se utilizan más adelante para la difusión. El primer archivo se llama "c: www.symantec_send.vbs" y contiene secuencias de comandos de Visual Basic que indican a MS Outlook Express que envíe mensajes infectados a todas las direcciones de la libreta de direcciones de Windows. El segundo archivo "c: message.vbs" contiene Visual Basic Script que el 24 de noviembre muestra el siguiente mensaje: Algunas noticias impactantes ¡No te veas sorprendido! Es solo una advertencia sobre tu estupidez ¡Cuídate! Ambos archivos están registrados por el gusano en el registro del sistema en la sección de ejecución automática. Por lo tanto, estos scripts obtienen control sobre cada inicio de Windows. El gusano también registra una página de información de virus falso como la página de inicio de Internet Explorer. Para evitar la propagación duplicada desde la misma máquina, el gusano crea "HKLMSOFTWAREMicrosoftWABOE Done" en la clave de registro del sistema y establece su valor en "Hardhead_SatanikChild". De esta forma, no se propaga desde la misma máquina dos veces.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Virus.VBS.Hard

Detalles técnicos