ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.VBS.Hard

Clase Virus
Plataforma VBS
Descripción

Detalles técnicos

Este es un gusano de Internet escrito en lenguaje de Escritura de Visual Basic (VBS). Se propaga utilizando MS Outlook Express.

Este gusano se propaga por correo electrónico al enviar mensajes infectados desde computadoras infectadas. Mientras se propaga, el gusano usa MS Outlook Express y se envía a todas las direcciones almacenadas en la libreta de direcciones de Windows. Como resultado, una computadora infectada envía tantos mensajes a tantas direcciones guardadas en la Libreta de direcciones de Windows.

Funciona solo en computadoras en las que está instalado el Windows Scripting Host (WSH). En Windows 98 y Windows 2000, WHS está instalado por defecto.

El gusano llega a una computadora como un mensaje de correo electrónico con el archivo adjunto "www.symantec.com.vbs" que es el mismo gusano.

El mensaje infectado en la versión original del gusano contiene:

Subject = "FW: Advertencia de Symantec Anti-Virus"
Cuerpo = —– Mensaje original —–
De: [warning@symantec.com]
Para: [supervisor@av.net]; [security@softtools.com];
[mark_fyston@storess.net]; [directorcut@ufp.com];
[pjeterov@goldenhit.org>; [kim_di_yung@freeland.ch];
[james.heart@macrosoft.com]
Asunto: FW: Advertencia de Symantec Anti-Virus

Hola,
Hay un nuevo gusano en la red.
¡Este gusano se propaga muy rápido y es muy peligroso!

Symantec lo notó por primera vez el 4 de abril de 2001.

El archivo adjunto es una descripción del gusano y cómo se replica.

Con saludos,
F. Jones
Desarrollador sénior de Symantec

Tras la activación, el gusano crea una página de información falsa del virus de Symantec sobre el virus "VBS.AmericanHistoryX_II@mm" y la muestra. A continuación, crea varios archivos que se utilizan más adelante para la difusión.

El primer archivo se llama "c: www.symantec_send.vbs" y contiene secuencias de comandos de Visual Basic que indican a MS Outlook Express que envíe mensajes infectados a todas las direcciones de la libreta de direcciones de Windows.

El segundo archivo "c: message.vbs" contiene Visual Basic Script que el 24 de noviembre muestra el siguiente mensaje:

Algunas noticias impactantes
¡No te veas sorprendido!
Es solo una advertencia sobre tu estupidez
¡Cuídate!

Ambos archivos están registrados por el gusano en el registro del sistema en la sección de ejecución automática. Por lo tanto, estos scripts obtienen control sobre cada inicio de Windows.

El gusano también registra una página de información de virus falso como la página de inicio de Internet Explorer.

Para evitar la propagación duplicada desde la misma máquina, el gusano crea "HKLMSOFTWAREMicrosoftWABOE Done" en la clave de registro del sistema y establece su valor en "Hardhead_SatanikChild". De esta forma, no se propaga desde la misma máquina dos veces.


Enlace al original