|
|
| Nombre: | VBS/Hypoth@MM Alias: VBS.Hypoth@mm |
| Tipo: | Gusano de Email |
| Tamaño: | 8,499 bytes, 19,692 bytes |
| Origen: | Internet |
| Destructivo: | SI |
| En la calle (in the wild): | SI |
| Detección y eliminación: |
The Hacker 5.3 al 26/11/2002. |
Descripción:
VBS/Hypoth@MM, es un gusano que llega a través de emails, este es capaz de enviarse así mismo a todos los contactos de la libreta de direcciones del Outlook, infecta todos los archivos con extensiones .vbs y vbe que encuentre en el computador, dichos archivos los renombra como archivos de Video.
Caracteristicas del Mensaje de Email :
Asunto: Hey <Nombre del receptor>!
Cuerpo :
<Nombre del receptor>! Get free mp3s from the web site that i go to!
I can get almost any music that I want, just look at all the cool sites that
I went to in the attachments.
Bye
Archivo Adjunto : Sitelist.vbs
Asunto: Hello <Nombre del receptor>!
C uerpo :
Have fun with these great jokes!
<Nombre del remitente>
Archivo Adjunto : Jokes.vbs
Asunto: Here is that file you wanted, <Nombre del receptor>.
Cuerpo :
This is the file you wanted - don't let anyone else see it!
<Nombre del remitente>
Archivo adjunto: Confidential.vbs
Asunto: Check this out, <Nombre del receptor>!
Cuerpo:
Hello <Nombre del receptor>, check out these pictures of my last holiday!
Don't get jealous!
<Nombre del remitente>
Archivo Adjunto: Holidaypics.vbs
Asunto: Urgent Update!
Cuerpo :
<Nombre del receptor>,
Your computer will need this update to protect your computer from new email
viruses. I installed this update and it works fine.
Thanks.
Archivo Adjunto: SecurityUpdate.vbs, Update.vbs, UpdateSecurity.vbs,
UpdateInstaller.vbs, UpdateSetup.vbs, or Readme.vbs
----------------------------------------------------------
Cuando este se ejecuta se copia así mismo en la carpeta SYSTEM de Windows como uno o mas de los siguientes nombres
C:\WINDOWS\SYSTEM\Runmsdsk32.vbs
C:\WINDOWS\SYSTEM\Sitelist.vbs
C:\WINDOWS\SYSTEM\Winnt32.vbs
C:\WINDOWS\SYSTEM\Jokes.vbs
C:\WINDOWS\SYSTEM\Confidential.vbs
C:\WINDOWS\SYSTEM\Runmnt32.vbs
C:\WINDOWS\SYSTEM\Holidaypics.vbs
C:\WINDOWS\SYSTEM\Securityupdate.vbs
C:\WINDOWS\SYSTEM\Update.vbs
C:\WINDOWS\SYSTEM\Updatesecurity.vbs
C:\WINDOWS\SYSTEM\Updateinstaller.vbs
C:\WINDOWS\SYSTEM\Updatesetup.vbs
C:\WINDOWS\SYSTEM\Readme.vbs
C:\WINDOWS\SYSTEM\<caracteres aleatorios>.vbs
También modifica la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema adicionando uno de los siguientes valores con un archivo de la lista anterior:
Runxpdsk32
Winnt32
Runmnt32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Seguidamente el gusano se envia a todos los contactos de la libreta de direcciones de Outlook y Outlook Express, para saber si ya se envio a una de las direcciones de correo, el gusano almacena la dirección de email en la siguiente entrada del registro
HKEY_CURRENT_USER\Software\Theory\Theory\RecordContacts\
Despues de enviarse, busca archivos con la extensión VBS y VBE en todo el computador infectado, finalmente el gusano adiciona la extensión .vbs a todos los archivos .mp3, .mp2, .mpg, .mpe, .mpeg, .avi, y .mov que encuentre en el computador
Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú