|
|
| Nombre: | VBS/Bimorph@MM Alias: VBS_BIMORPH.A, VBS/Bimorph.A |
| Tipo: | Gusano de E-mail |
| Tamaño: | 4,400 o 4,714 bytes |
| Origen: | Internet |
| Destructivo: | SI |
| En la calle (in the wild): | SI |
| Eliminación | The Hacker 5.2 al 07/02/2002 |
Descripción
VBS/Bimorph.A es un gusano que se transmite vía E-mail. Tiene la caracteristica de ser polimorfico. Cuando el gusano se ejecuta se envia a todos los contactos de la libreta de direcciones de Outlook.
Características del mensaje de E-mail:
Asunto: Check this out
Archivo Adjunto: Snoopy shagging Woodstock y Snoopy smoking weed.
-------------------------------------------------------------------------------------
Una vez que el gusano se ejecuta, utiliza una clave que tiene guardada en su código para desencriptar el codigo de otro virus encriptado, a su vez tambien genera una nueva clave para encriptarse a si mismo.
Ademas el gusano borra su propio archivo C:\PASS.ON el cual es un archivo de texto, luego revisa todas las unidades y carpetas del computador infectado en busca de archivos con extensión .VBS y .VBE, si los encuentra los sobreescribe copiando su propio codigo. Luego el último archivo TXT que encuentre con la palabra "PASSWORD" se copia a C:\PASS.ON.
El codigo del virus contiene lo siguiente:
'vbs.janis by alcopaul/[rRlf]
'may 02, 2002
a friend with weed is a friend indeed..
el otro virus contiene lo siguiente en su codigo:
'vbs.snoopy by alcopaul/[rRlf]
'05/02/2K2
'warning: morphic, steals info, employs new algorithm....
'greets to disk0rdia, dr.g0nZo, El DudErin0, philet0ast3r, ppacket, rastafarie,
'petik, energy
Cuando los archivos infectados se ejecutan estos realizan lo descrito anteriormente y se envian asi mismo a todos los contactos de la libreta de direcciones del Outook.
Los archivos .VBE y .VBS que fueron sobrescritos ya no pueden ser recuperados, debiendo ser reemplazados por alguna copia backup o reinstalarlos nuevamente.
Derechos reservados 1992/2001 HackSoft S.R.L. Lima-Perú