NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

Nuevo virus Vbscript que propaga por e-mail y contiene payload destructivo.

Nombre de virus: VBS/Horty.b@MM
Alias conocidos:
ninguno
Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)

Activación: Por ejecución de fichero adjunto a e-mail
Propagación: Por distribución masiva a través de correo electrónico
Detección: desde DATS 4203 (disponibles el 16/05/02) o DAILYDATS
Motor necesario: desde 4.0.70

Infección actual: Inicial (Inicial, Media, Elevada)

 

VBS/Horty.b@MM llega como fichero adjunto a un mensaje de correo electrónico, con el nombre ANGELINA-JOLIE-MEGAFUCK.TXT.vbs y envia un e-mail utilizando Outlook, con el siguiente formato:

Asunto: Check this!
Mensaje: Have you ever seen Angelina Jolie in extremely hot scenes? You cannot imagine the pleasure,unless you check the attachment. "I'll get in touch with you again soon...
Adjunto: ANGELINA-JOLIE-MEGAFUCK.TXT.vbs

Si el virus se ejecuta desde la unidad A:\ o B:\, se copiará como c:\TARANTINO.TXT.vbs. A continuación copiará los siguientes ficheros infectados al directorio Windows:

· ANGELINA-JOLIE-MEGAFUCK.TXT.vbs

· kernelDLL.vbs

· PING-PONG.TXT.vbs

· BLOWJOB.TXT.vbs

· DANCE-WITH-THE-DEVIL.TXT.vbs

· MATRIX2-THEME.TXT.vbs

· SPIDER-MAN-THE-MOVIE.TXT.vbs

· THE-GIFT.TXT.vbs

· x-MEN.TXT.vbs

· IRON-MAIDEN-ARE-DEAD.TXT.vbs

· METALLICA-NEW-ALBUM.TXT.vbs

· THE-MUMMY-RETURNS.TXT.vbs

Los siguientes ficheros al directorio Windows System

· Winkernel.vbs

· LORD-OF-THE-RINGS-3.TXT.vbs

· BRAD-PITT-IS-GAY.TXT.vbs

· FUCK-THIS-CORPSE.TXT.vbs

· AAAARRRGGGHH.TXT.vbs

· THIS-IS-MY-LAST-HOUR.TXT.vbs

· BLACK-SABBATH.TXT.vbs

· LARA-CROFT-BLOWJOB.TXT.vbs

· MICROSOFT-BEEN-HACKED.TXT.vbs

· WIN98-SUPERCRASH.TXT.vbs

· ATTENTION!!!.TXT.vbs

Puede crear los siguientes ficheros en la unidad A: o B: :

· WAKE-UP-DEAD-MAN.TXT.vbs

· LORD-OF-THE-RINGS-2.TXT.vbs

· READY-TO-DIE.TXT.vbs

· FUCK.TILL.DEATH.TXT.vbs

· AFRICA-GAY.TXT.vbs

· YOU-HAVE-AIDS.TXT.vbs

· NOTHING-ELSE-MATTERS.TXT.vbs

· KYLIE-MINOGUE.TXT.vbs

· BILL-GATES-SMASHES-ALL.TXT.vbs

· SHIT-HAPPENS.TXT.vbs

Añade las siguientes claves de registro para ejecutarse tras el reinicio del sistema:

· HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinUpdated,"wscript.exe" kernelDLL.vbs

· HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinUpdated,"wscript.exe" Winkernel.vbs

El virus enviará mensajes de correo electrónico, siguiendo el formato arriba indicado. Si la fecha es 16 de Mayo, el virus borrará el directorio Windows. Si el día es 11 de Mayo, visualiza el siguiente mensaje:

 


Si el día es 12 de Mayo, visualiza el siguiente mensaje:

 


Si el día es 15 de Mayo, visualiza el siguiente mensaje:

 


Si el día es 17 de Mayo, visualiza el siguiente mensaje:

 

Se controla con VirusScan desde los DAT y motor arriba indicados, disponibles en www.satinfo.es

 

 

SATINFO, VIRUSCAN SPAIN SERVICE 14 de Mayo de 2002

Anterior