Nuevo virus worm con autoenvio a través de la libreta del Outlook/IRC

Nombre de virus: VBS/COD

Alias conocidos: Crayon of Doom, LIST.VBS, Pornlist.doc

Riesgo Infección: Bajo    (Bajo, Alto, Muy Alto)

Activación: No tiene previsto payload de destrucción

Propagación: Por autoenvio de worm dentro de Pornlist.doc / IRC

Detección: Desde DATS 4087

Motor necesario: Engine 4.0.50 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Es un gusano (worm) escrito en Visual Basic Script, que se propaga a través de canales de IRC (Chats) y por autoenvío de e-mails a través de las funciones MAPI, a las direcciones del Outlook.

El mail que envía tiene el siguiente formato:

Asunto:  “Hey whats up, Important !”
Cuerpo: “Hey I attached a list for you to this e-mail take a look at it and tell mi what you think”
Anexos:  “c:\pornlist.doc”

El fichero anexado es un documento de Word que lleva embebido una rutina VBS denominada LIST.VBS. En el documento hay el siguiente texto:
 
                         Double click me to view my picture

    Please view my nude picture and e-mail me back if you think
                                        that i am
              good enough to pose for my webpage

Tras doble click sobre el mismo, busca instalaciones del MIRC y de Pirch98 y, si los encuentra, modifica sus scripts para autodistribuirse por los canales de Chat. Luego se copia en varios directorios del disco duro local, con los siguientes nombres:

        [temp]\list.vbs                           windows\winsck.vbs
        windows\cod.cod                      windows\system\explorer.vbs
        windows\list.vbs                        windows\system\list.vbs
 
Seguidamente modifica el registro de sistema y los ficheros de configuración Win.ini y System.ini, para ser ejecutado en los siguientes arranques.

A continuación busca unidades mapeadas  y genera, en su directorio principal, los ficheros PORNLIST.DOC  y  LIST.VBS

Después envia los e-mails indicados al principio, a las direcciones del Outlook, y, si ya lo ha hecho, cambia a 1 una clave del registro de sistema para, las próximas veces, envíar un mail a ilikerolls@aol.com para informar (se supone que al hacker) de la progresión del virus.

Este gusano tiene una rutina de autochequeo que comprueba que no se hayan borrado ninguno de los ficheros, o los regenera. También comprueba que en el registro de sistema no falte ninguna de sus claves.

Se controla desde DATS 4087, ya disponibles en nuestra web. Para bajarlos, acceder a www.satinfo.es y seleccionar, por la mitad de la página, “Para descargar los DATS para versión 4.xx pulse aquí”, luego copiar el DATS4.ZIP en C:\DATS y , en WINDOWS 95/98, pasar a ejecutar el AUTOUPDATE. (o bien ejecutar el fichero SDAT4087.exe). En el caso de que se quiera actualizar NT o W2000, aconsejamos ejecutar el SDAT4087.exe, pues, de lo contrario, habría que modificar la ruta a C:\DATS en la configuración de la tarea “Actualización automática de DAT”, para que el Autoupdate utilizara la ruta C:\DATS en lugar de la programada por defecto A:
 
 
 

SATINFO, VIRUSCAN SPAIN SERVICE                         L.21-7-00
 

Anterior