|
W32/Antrax@mm
El 15 de Octubre del 2001 se reportó este gusano, con un mensaje anexado relacionado a uno de los mortales elementos de la guerra bacteriológica desatada en diversos países del mundo, a raíz de los conflictos bélicos con Afganistán.
El gusano se propaga masivamente con un archivo anexado denominado antraxinfo.vbs, haciendo uso de las funciones de las librerías MAPI (
Messaging Application Programming Interface). Una vez que un sistema es infectado, Vbs.Antrax se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook.Antrax infecta todos los sistemas operativos Microsoft Windows 98/NT/2000/Me/XP, incluyendo los servidores NT/2000.
Adicionalmente, se envía a través de las aplicaciones chat mIRC y Pirch.
Ha sido desarrollado con el conocido software generador de gusanos denominado
Vbs Worm Generator y trata de despertar la curiosidad de los receptores con un mensaje alusivo a las personas infectadas con la bacteria Antrax, al contener un archivo anexado con este nombre.Si se ejecuta el archivo, el gusano se auto-copia
al directorio Windows/System, con el nombre antraxinfo.vbs. Luego crea las siguientes llaves de registro, para ejecutarse cada vez que se inicie el sistema:[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antraxinfo]
wscript.exe c:\windows\System\antraxinfo %
Luego verifica la existencia de las siguientes entradas en el registro de Windows, las cuales emplea para determinar si el gusano ya intentó enviarse por correo electrónico o si ya modificó el mIRC para intentar propagarse via
IRC (Internet Relay Chat):HKCU\software\Antrax\mailed
HKCU\software\Antrax\mirqued
HKCU\software\Antrax\pirched
Si el valor de estas claves es igual a uno, significa que ya ejecutó estas acciones. En caso contrario empezará a auto-enviar su código viral.
El mensaje enviado es siempre el mismo así como el archivo anexado. Una vez enviado, el gusano lo elimina de la carpeta de Elementos Enviados de MS Outlook. Si esta aplicación no se encuentra instalada y configurada en el sistema, el virus no podrá re-enviarse por correo electrónico.
A continuación, busca la existencia de la aplicación
mIRC en el sistema infectado y si ésta es hallada crea un archivo script.ini para intentar propagarse a través del IRC, utilizando esta herramienta de chat. De este modo, cuando el usuario se encuentre chateando en alguna sesión de chat, utilizando el mIRC, el sistema del usuario infectado enviará una copia del gusano a cada persona que se conecte o esté participando en ese foro.El gusano además sobre escribe su código en todos los archivos con extensión
.vbs y .vbe del sistema y contiene el siguiente comentario al comienzo de su código: Vbs.Antrax Created By wAsEkFinalmente, verifica si la fecha es 26 de enero y mostrará el siguiente
mensaje en la pantalla:"
Antrax Worm By wAsEk"PER ANTIVIRUS® versión 7.1 con registro de virus al 16 de Octubre del 2001 detecta y elimina eficientemente este gusano.
