|
|
| Nombre: | VBS/Forgotten.A@MM Alias: VBS_FORGOTTEN.A |
| Tipo: | Gusano E-mail |
| Tamaño: | 9,025 bytes |
| Origen: | Internet |
| Destructivo: | SI (sobreescribe archivos *.VBS y *.VBE) |
| En la calle (in the wild): | Pocos reportes |
| Eliminación | The Hacker 4.10 al 14/12/2000 y posteriores. |
Descripción
VBS/Forgotten.A@MM es un gusano de Visual Basic Script que se propaga vía E-mail en un mensaje con sujeto "RE: FINANCING", el gusano viene insertado como código HTML en el mensaje infectado, para poder activarse, requiere que el usuario tenga activa la opción de ActiveX.
Si el código HTML infectado es activado el gusano realiza:
1- Se copia a la carpeta WINDOWS SYSTEM como vb1.com.vbs y crea una entrada en el registro Run para auto ejecutarse
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"vb1" ="wscript.exe c:\windows\system\vb1.com.vbs"
2- Se envía a sí mismo a todos los usuarios en la libreta de direcciones de OutLook
3- Busca todos los archivos *.VBS y *.VBE en todas las unidades (incluyendo red) y los sobreescribe con su código
4- Si está instalado MIRC y/o PIRCH sobreescribe sus archivos de configuración (script.ini / events.ini) para enviar automáticamente el archivo vb1.com.vbs cuando el usuario se conecte al IRC
Para detectar y eliminar VBS/Forgotten.A@MM utilice The Hacker 4.10 al 15/12/2000
Derechos reservados 1992/2001 HackSoft S.R.L. Lima-Perú