Kaspersky Threats — TripleSix

Clase

Plataforma

Descripción

Detalles técnicos

Este es un gusano escrito en lenguaje de Visual Basic Script (VBS). Este gusano se propaga a través del correo electrónico y los canales de IRC (Internet Relay Chat).

Al ejecutarse, el script de gusano muestra el mensaje:



¿Su nombre suma 666?

Esta pequeña y práctica herramienta le dirá qué significa su nombre en ASCII

caracteres (sin incluir espacios y sin convertir números a

ASCII). Es solo por diversión, no significa que vas a ir al infierno

si obtienes un 666. Probablemente deberías leer la Biblia si estás preocupado

sobre eso.

Luego le pide al usuario los nombres y la suma de los códigos de caracteres ASCII en el texto ingresado:



¿Su nombre suma 666?

Introduzca su nombre. También prueba los nombres de tu familia y amigos. Y si tu

quieres algo interesante prueba BILL GATES 3 (El verdadero nombre de Bill es Bill

Gates el tercero) y SANTA BIBLIA. Presione Cancelar o Aceptar sin ingresar ningún

nombre para salir

Cuando se ingresa texto vacío, el gusano procede a su rutina de propagación. Al principio, esta rutina crea archivo comprimido consigo mismo dentro. Para crear un archivo, el gusano usa la utilidad "pkzip" almacenada dentro del cuerpo de los gusanos en formato cifrado basado en texto y lo descifra antes de ejecutarlo. Luego el gusano coloca el archivo creado en el directorio de Windows con el nombre "666TEST.ZIP".

Otro archivo que crea el gusano es "REGSVR.VBS" en la carpeta del sistema de Windows. El gusano modifica el registro del sistema para ejecutar este script cada vez que se inicia Windows.

Al ejecutarse, esta secuencia de comandos enumera todas las unidades de disco en la computadora y verifica las siguientes carpetas en ellas:



MIRC

MIRC32

PIRCH

PIRCH98

Si dentro de la carpeta de comprobación o sus subcarpetas se encuentran los archivos ejecutables MIRC o PIRCH (clientes IRC populares), el gusano crea una secuencia de comandos para el cliente IRC encontrado que envía el archivo 666TEST.ZIP con el gusano dentro de cada canal IRC unido.

También verifica la fecha del sistema y el quinto de cada mes cambia el fondo de pantalla del escritorio con una imagen de dibujos animados en mosaico de la cara triste.

Finalmente, el gusano intenta propagarse por correo electrónico utilizando MS Outlook de la misma forma que lo hace el macrovirus "Melissa" . El mensaje infectado con el gusano contiene el archivo adjunto "666TEST.ZIP" con script de gusano dentro. El asunto del mensaje es "666 test", y body is "> ¿Su nombre suma 666 en caracteres ASCII? ¿Vas a ir al infierno?".

El gusano no se propaga desde una computadora dos veces. Para evitar la propagación duplicada, crea la clave en el registro del sistema:



"HKEY_LOCAL_MACHINESoftwareMIRC / OUTLOOK / PIRCH.VanHouten" = "Verdadero"

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Virus
Plataforma	VBS
Descripción	Detalles técnicos Este es un gusano escrito en lenguaje de Visual Basic Script (VBS). Este gusano se propaga a través del correo electrónico y los canales de IRC (Internet Relay Chat). Al ejecutarse, el script de gusano muestra el mensaje: ¿Su nombre suma 666? Esta pequeña y práctica herramienta le dirá qué significa su nombre en ASCII caracteres (sin incluir espacios y sin convertir números a ASCII). Es solo por diversión, no significa que vas a ir al infierno si obtienes un 666. Probablemente deberías leer la Biblia si estás preocupado sobre eso. Luego le pide al usuario los nombres y la suma de los códigos de caracteres ASCII en el texto ingresado: ¿Su nombre suma 666? Introduzca su nombre. También prueba los nombres de tu familia y amigos. Y si tu quieres algo interesante prueba BILL GATES 3 (El verdadero nombre de Bill es Bill Gates el tercero) y SANTA BIBLIA. Presione Cancelar o Aceptar sin ingresar ningún nombre para salir Cuando se ingresa texto vacío, el gusano procede a su rutina de propagación. Al principio, esta rutina crea archivo comprimido consigo mismo dentro. Para crear un archivo, el gusano usa la utilidad "pkzip" almacenada dentro del cuerpo de los gusanos en formato cifrado basado en texto y lo descifra antes de ejecutarlo. Luego el gusano coloca el archivo creado en el directorio de Windows con el nombre "666TEST.ZIP". Otro archivo que crea el gusano es "REGSVR.VBS" en la carpeta del sistema de Windows. El gusano modifica el registro del sistema para ejecutar este script cada vez que se inicia Windows. Al ejecutarse, esta secuencia de comandos enumera todas las unidades de disco en la computadora y verifica las siguientes carpetas en ellas: MIRC MIRC32 PIRCH PIRCH98 Si dentro de la carpeta de comprobación o sus subcarpetas se encuentran los archivos ejecutables MIRC o PIRCH (clientes IRC populares), el gusano crea una secuencia de comandos para el cliente IRC encontrado que envía el archivo 666TEST.ZIP con el gusano dentro de cada canal IRC unido. También verifica la fecha del sistema y el quinto de cada mes cambia el fondo de pantalla del escritorio con una imagen de dibujos animados en mosaico de la cara triste. Finalmente, el gusano intenta propagarse por correo electrónico utilizando MS Outlook de la misma forma que lo hace el macrovirus "Melissa" . El mensaje infectado con el gusano contiene el archivo adjunto "666TEST.ZIP" con script de gusano dentro. El asunto del mensaje es "666 test", y body is "> ¿Su nombre suma 666 en caracteres ASCII? ¿Vas a ir al infierno?". El gusano no se propaga desde una computadora dos veces. Para evitar la propagación duplicada, crea la clave en el registro del sistema: "HKEY_LOCAL_MACHINESoftwareMIRC / OUTLOOK / PIRCH.VanHouten" = "Verdadero"
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Virus.VBS.TripleSix

Detalles técnicos