|
|
| Nombre: | JS/Veren.A Alias: JS_Veren@mm, JS_Never@mm, JS_VEREN.A |
| Tipo: | Gusano |
| Tamaño: | 3,691 bytes |
| Origen: | Internet |
| Destructivo: | SI |
| En la calle (in the wild): | SI |
| Detección y Eliminación |
The Hacker 5.3, Registro
de Virus al 08/12/2002 |
Descripción
JS/Veren, es un gusano que se transmite a través de E-mail y recursos compartidos, para ello utiliza aplicaciones MAPI (Mail Application Program Interface).
Características del mensaje de E-mail:
Asunto: [puede ser cualquiera de la siguiente lista]
Hello [dirección de email]!
Hey [dirección de email]!
Fwd: Hey You!
Fwd: Check this!
Fwd: Just Look
Fwd: Take a look!
[dirección de email]!
Fwd: Loop at this!
Fwd: Check this out!
Fwd: It's Free!
Fwd: Look!
Fwd: Free Mp3s!
Fwd: Here you go!
Fwd: Have a look!
Look [dirección de email]!"
Fwd: Read This!
Cuerpo :
Hello!
Check out this great list of mp3 sites that I
included in the attachments!
I can get any Mp3 file that I want from these
sites, and its free! And please don't be greedy!
forward this email to all the people that you
consider friends, and Let them benefit from
these Mp3 sites aswell!
Enjoy!
Archivo Adjunto: [puede ser uno de la siguiente lista]
Free_Mp3s.js
Fwd_Mp3s.js
Fwd-Mp3s.js
Fwd-Sites.js
Mp3_List.js
Mp3_Pages.js
Mp3_Sites.js
Mp3_Web.js
Mp3-Fwd.js
Mp3-Sites.js
Web_Mp3s.js
--------------------------------------------------------------------------
Cuando el gusano se ejecuta busca todas las unidades compartidas de la red que esten conectadas al computador infectado para copiarse así mismo como TEMPORARY.JS y proseguir con su rutina de infección.
Cuando el gusano se instala crea las siguientes copias de si mismo en :
C:\WINDOWS\SYSTEM\CmdWsh32.js
C:\WINDOWS\Menú Inicio\Programas\Inicio\StartUp.js
Además crea las siguientes entradas en el registro para poder ejecutarse en el siguiente reinicio del sistema
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"JSCmd32"="Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"JSCmd32"="Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
También modifica las siguientes entradas para que se infecte un archivo .TXT, .JS o .SCR cada vez que se ejecute uno de estos.
HKEY_CLASSES_ROOT\txtfile\shell\open\command
"predeterminado"="Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
"predeterminado"="Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
HKEY_CLASSES_ROOT\scrfile\shell\open\command
"predeterminado"="Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\txtfile\shell\open\command
"predeterminado"="Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\JSFile\Shell\Open\Command
"predeterminado"="Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\scrfile\shell\open\command
"predeterminado"="Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
Finalmente también crea las siguientes entradas con información del autor:
HKEY_CURRENT_USER\Software\Never
"@"="Never by Zed/[rRlf]"
HKEY_USERS\.DEFAULT\Software\Never
"@"="Never by Zed/[rRlf]"
Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú