ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.VBS.TripleSix

Clase Virus
Plataforma VBS
Descripción

Detalles técnicos

Este es un gusano escrito en lenguaje de Visual Basic Script (VBS). Este gusano se propaga a través del correo electrónico y los canales de IRC (Internet Relay Chat).

Al ejecutarse, el script de gusano muestra el mensaje:


¿Su nombre suma 666?
Esta pequeña y práctica herramienta le dirá qué significa su nombre en ASCII
caracteres (sin incluir espacios y sin convertir números a
ASCII). Es solo por diversión, no significa que vas a ir al infierno
si obtienes un 666. Probablemente deberías leer la Biblia si estás preocupado
sobre eso.

Luego le pide al usuario los nombres y la suma de los códigos de caracteres ASCII en el texto ingresado:


¿Su nombre suma 666?
Introduzca su nombre. También prueba los nombres de tu familia y amigos. Y si tu
quieres algo interesante prueba BILL GATES 3 (El verdadero nombre de Bill es Bill
Gates el tercero) y SANTA BIBLIA. Presione Cancelar o Aceptar sin ingresar ningún
nombre para salir

Cuando se ingresa texto vacío, el gusano procede a su rutina de propagación. Al principio, esta rutina crea archivo comprimido consigo mismo dentro. Para crear un archivo, el gusano usa la utilidad "pkzip" almacenada dentro del cuerpo de los gusanos en formato cifrado basado en texto y lo descifra antes de ejecutarlo. Luego el gusano coloca el archivo creado en el directorio de Windows con el nombre "666TEST.ZIP".

Otro archivo que crea el gusano es "REGSVR.VBS" en la carpeta del sistema de Windows. El gusano modifica el registro del sistema para ejecutar este script cada vez que se inicia Windows.

Al ejecutarse, esta secuencia de comandos enumera todas las unidades de disco en la computadora y verifica las siguientes carpetas en ellas:


MIRC
MIRC32
PIRCH
PIRCH98

Si dentro de la carpeta de comprobación o sus subcarpetas se encuentran los archivos ejecutables MIRC o PIRCH (clientes IRC populares), el gusano crea una secuencia de comandos para el cliente IRC encontrado que envía el archivo 666TEST.ZIP con el gusano dentro de cada canal IRC unido.

También verifica la fecha del sistema y el quinto de cada mes cambia el fondo de pantalla del escritorio con una imagen de dibujos animados en mosaico de la cara triste.

Finalmente, el gusano intenta propagarse por correo electrónico utilizando MS Outlook de la misma forma que lo hace el macrovirus "Melissa" . El mensaje infectado con el gusano contiene el archivo adjunto "666TEST.ZIP" con script de gusano dentro. El asunto del mensaje es "666 test", y body is "> ¿Su nombre suma 666 en caracteres ASCII? ¿Vas a ir al infierno?".

El gusano no se propaga desde una computadora dos veces. Para evitar la propagación duplicada, crea la clave en el registro del sistema:


"HKEY_LOCAL_MACHINESoftwareMIRC / OUTLOOK / PIRCH.VanHouten" = "Verdadero"


Enlace al original