|
|
| Nombre: | VBS/Hola Alias: VBS/Hercobolus |
| Tipo: | Gusano E-mail |
| Tamaño: |
Variante A: 7585 bytes
|
| Origen: | Perú |
| Destructivo: | SI |
| En la calle (in the wild): | NO |
| Eliminación | The Hacker 5.0 al 03/09/2001 |
Descripción
VBS/Hola@MM es un gusano de E-mail que se propaga utilizando Microsoft Outlook, el virus se envía a todos los contactos en la libreta de direcciones de Outlook.
Características del mensaje de Email:
Asunto: Hola
Cuerpo: Un recuerdo para tí en en Archivo Adjunto
Solo para tí el mensaje del Archivo Adjunto
Archivo Adjunto: Hola.vbs
---------------------------------------------------------
Si se abre el archivo adjunto "Hola.vbs" el gusano realiza las siguientes acciones:
1- El gusano se copia a la carpeta %windows% (Ej. C:\Windows) como "THWIN.vbs", "MiFoto.vbs"
2- Se envía automáticamente a los 70 primeros contactos de la libreta de direcciones de Microsoft Outlook, las características del mensaje se indican arriba.
3- El gusano selecciona al azar solamente una de las extensiones entre xls, dbf, wav, dwg, mp3, bak, wav, bmp, htm, hlp, chm, jpg, gif, scr, cdr, ttf y borra todos los archivos del disco duro con esa extensión, los nombres de los archivos borrados son salvados en el archivo "ListWin.txt" de la carpeta %windows%.
4- Si la fecha del sistema es mayor al 27 de Mayo del 2001 el gusano crea el archivo "c:\hercolubus.txt" y lo copia al archivo "C:\autoexec.bat".
El nuevo archivo autoexec.bat contiene intrucciones para borrar todos los *.SYS, *.DLL, *.OCX de la carpeta C:\Windows\System y formatear el disco duro "C:" al siguiente inicio del sistema.
5- El virus se registra en el sistema vía:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"THWIN"="%windows%\system\THWIN.vbs"
6- Muestra el mensaje:
Hola.. Quisiera tener una linda amistad contigo, no sé si recuerdas
la vez que platicamos en el chat
yo solo recordaba tu e-mail y la verdad me agradó tu plática y
me pareces una buena persona
Quisiera comunicarme continuamente contigo.
Estaré esperando tu respuesta, escríbeme.
HASTA PRONTO.
7- Se conecta en forma oculta a Microsoft Word e infecta la plantilla "normal.dot", el gusano agrega una macro "Hercolubus" que infecta disquetes "A:" cada vez que se inicia Microsoft Word, el virus crea el archivo "A:\Hola.vbs"
VARIANTES
VBS/Hola.B:
- El archivo "C:\autoexec.bat" es sobreescrito para formatear el disco
duro en cualquier fecha
- En la lista de extensiones que el gusano borra se ha modificado ".dbf" por ".doc"
- Se propaga a disquetes utilizando el archivo "A:\Mi Foto.vbs"
- Muestra un mensaje adicional:
YA DEBES SABER QUE SE APROXIMA HERCOLUBUS A LA TIERRA, ES UN PLANETA GIGANTE
NO HABRA ESCAPATORIA
- No se conecta a Microsoft Word
Derechos reservados 1992/2001 HackSoft S.R.L. Lima-Perú