|
|
| Nombre: | VBS/Jer Alias: |
| Tipo: | Gusano E-mail |
| Tamaño: | N/A |
| Origen: | Internet |
| Destructivo: | SI (realiza cambios en el sistema) |
| En la calle (in the wild): | SI |
| Eliminación | The Hacker 4.8 al 14/07/2000 |
Descripción
VBS/Jer es un gusano de Visual Basic Script que se propaga a través E-mail y clientes mIRC vía una página WEB "JER.HTM".
El gusano fue originalmente colocado en una página .HTM infectada en un servidor de USA, la página fue promocionada en el IRC como "<< THE 40 WAYS WOMEN FAIL IN BED".
Caracteristicas del mensaje de Email:
Asunto: Jer Resume
Cuerpo:
I would really like to get a new job. Please check out my resume.
Enjoy :-)
GinsengBoy
Archivo adjunto: Jer.HTM
------------------------------------------------------------------------
Si el usuario abre la página infectada el navegador (IE o Navigator) presenta un mensaje de advertencia indicando que la página contiene un script y pregunta si desea ejecutarlo ó no. Si el usuario acepta el Script el gusano se activará.
Al activarse, el gusano se copia hacia la carpeta Windows\System como JER.HTM y modifica el registro para ejecutarse en cada inicio de Windows.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"GinSenG" = "JER.HTM"
Inmediatamente el gusano realiza cambios en el sistema vía el registro:
- Desactiva el acceso al escritorio
- Desactiva la opción "Inicio | Buscar"
- Desactiva las propiedades de "Entorno de Red"
- Desactiva la opción "Inicio | Apagar el sistema"
- Modifica la información del usuario de Windows a:
RegisteredOwner="I Love You, Min"
RegisteredOrganization="GinsengBoy® 2000"
Después de esto el gusano modifica el archivo "SCRIPT.INI" de la carpeta "C:\MIRC" para enviar el archivo "JER.HTM" a cada usuario que se conecta al mismo canal de conversación del usuario infectado.
Como último paso VBS/Jer se envía a si mismo como archivo adjunto "JER.HTM" a todos los contactos de la libreta de direcciones del OutLook.
Derechos reservados 1992/2001 HackSoft S.R.L. Lima-Perú