|
|
| Nombre: | VBS/Gaggle.B@MM Alias: VBS/Gaggle.B, VBS.Gaggle.B@mm, HTML/Gaggle.B, W32/Gaghiel.B@mm, VBS/Gaggle.B@mm |
| Tipo: | Gusano |
| Tamaño: | 24,712 bytes, 37,524 bytes, 54,680 bytes |
| Origen: | Internet |
| Destructivo: | SI |
| En la calle (in the wild): | SI |
| Detección y Eliminación |
The Hacker 5.3 y 5.4 Registro de Virus al: 19/12/2002 |
Descripción
VBS/Gaggle.B@MM, es un gusano que llega en un archivo adjunto llamado AngelDelMar.HTML, este es capaz de enviarse a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, tambien vía el mIRC. Sobrescribe todos los archivos con extensión .VBS que encuentre en la computadora infectada a excepción del directorio raiz.
Caracteristicas del Mensaje de Email:
Asunto : Su computadora es un Zombi?
Cuerpo :
Debido al reciente ataque a los servidores
raiz DNS de la red, el FBI a determinado q' tan solo
en EEUU, hay 80.000 computadoras zombis.
Zombis se aplica a las Pc, afectadas por un RAT
(Troyano de Acceso Remoto), q' a diferencia de virus
y gusanos no dan sintomas, por lo que la mayoria de
usuarios desconoce que sus Pc estan infectadas y
siendo accedidas para robar informacion o lanzar
ataques a otras maquinas.
Como saber si su computadora esta infectada con
un RAT, en la pagina adjunta.
www.gratisweb.com/machinedramon1/gaghiel.html
Archivo Adjunto : PcZombi.html
Asunto: Windows y Osama Ben Laden
Cuerpo:
Debido a las recientes declaraciones de
un mienbro de Al-Qaida(Red de Ben Laden), de que
infiltrados entre los tecnicos de Microsoft, abri
an, incluido dentro del codigo de algunas versio
nes Windows, una Puerta Trasera(Troyano), para
poder acceder a las maquinas y robar informacion
o usarlas para un ataque coordinado.
Aunque Microsoft a negado esto, el FBI investiga
y agencias como la CIA, han cambiado los sistemas
de sus PCs, para evitar un ataque.
Como saber si su Pc esta afectada en la pagina
adjunta
www.gratisweb.com/machinedramon1/gaghiel.html
Archivo Adjunto: RAT seguridad.html
Asunto: Te envio la info que me pediste
Cuerpo:
Hola, se me perdio el papel q' me
diste con tu mail, ojala no me haya equivocado al
escribirla.
Te envio la info q' me pediste(confidencial)
Reenviame la direccion de tu mail, saludame a
Raúl y despideme de Patty. Adios
www.gratisweb.com/machinedramon/gaghiel.html
Archivo Adjunto: InformacionCuentas.html
Asunto: VirtualLetter
Cuerpo:
Una targeta virtual le ha sido enviada
desde esta direccion de correo.
los datos del remitente de la targeta y donde
verla, en la pagina adjunta.
Tiene 7 dias a partir de hoy, para ver o descar
gar su targeta antes de que sea borrada
VirtualLetter, un servicio de LatinRed
Email enviado sin acentos
www.gratisweb.com/machinedramon/gaghiel.html
Archivo Adjunto: VirtualLetter.html
Asunto: Sexalud
Cuerpo :
Sexalud,la pagina de Terra para resolver
tus dudas de sexualidad.
Visitanos en www.terra.com.pe/sexalud
Un Test para saber si eres buen(a) amante en la
pagina adjunta
www.gratisweb.com/machinedramon/gaghiel.html
Archivo Adjunto: Sexalud.html
------------------------------------------------------------
Cuando el gusano se ejecuta abre una ventana del explorador, con el siguiente mensaje :
Naria y Erya
Gaghiel
Error Cargando : 2015
Seguidamente muestra el siguiente mensaje:
Si el usuario presiona el botón [NO] eñ gusano mostrara el siguiente mensaje :
Si el usuario presiona el botón [YES] el gusano se copia a sí mismo en la carpeta del sistema como :
C:\WINDOWS\SYSTEM\Gaghiel.vbs
Tambien creara los siguientes archivos en :
C:\WINDOWS\Gaghiel.html
C:\WINDOWS\SYSTEM\AngeldelMar.html
C:\WINDOWS\Temp\PcZombi.html
C:\WINDOWS\Temp\RAT seguridad.html
C:\WINDOWS\Temp\InformacionCuentas.html
C:\WINDOWS\Temp\VirtualLetter.html
C:\WINDOWS\Temp\Sexalud.html
Seguidamente el gusano ejecuta el archivo Gaghiel.vbs,
procediendo a borrar los archivos con extensión: .asp, .hta,
.htm, .html, .msconfig, .php, .phtm, .phtml, .plg, .regedb32, .sfc, .shtm, y
.shtml.
C:\WINDOWS\REGEDIT.EXE
C:\WINDOWS\MSCONFIG.EXE
SFC.*
Además tambien borra archivos elegidos al azar en el
disco duro con las siguientes extensiones .DLL, .CHI, .CHM,
CPP,
CTL, EXE, H, HLP, ICO, RGS, TLB, XLA.
Crea las siguientes entradas en el registro del sistema para poder ejecutarse en cada reinicio del sistema :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Gaghiel"="C:\WINDOWS\SYSTEM\Gaghiel.vbs"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Domain
Manager
"Gaghiel"="C:\WINDOWS\SYSTEM\Gaghiel.vbs"
Finalmente el gusano modifica la página de inicio de Internet Explorer si la fecha es posterior al día 25 de cualquier mes, para que se abra en una dirección web especifíca, creando así una entrada en el registro del sistema:
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main
"Start Page"="www.gratisweb.com\xxxxxxxxxxx"
Además si la suma del día y el mes es igual a 30, el gusano mostrará la siguiente ventana de mensaje:
Gaghiel
Oracion antes de entrar al internet:
Satelite nuestro que estas en el cielo,
Acelerado sea tu link,
Venga a nosotros tu hipertexto,
Hagase tu conexion en lo real como en lo virtual
Danos hoy el download de cada dia,
Perdona el cafe en el Teclado,
Asi como nosotros perdonamos a nuestros proveedores,
No nos dejes caer la conexion,
Y libranos de todo Virus,
En nombre del Server, del Modem y del santo User-name.
Log-in
[ Aceptar ]
Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú