VBS/EDNAV@MM, I-worm.Ednav

Ednav, es un gusano reportado el 21 de Agosto del 2002, que se propaga masivamente a través de mensajes de correo, vía MS Outlook con un archivo anexado, de nombre aleatorio, con la extensión .vbs y que pese a ocupar apenas un promedio de 3.7 KB, es muy destructivo ya que borra archivos ejecutables. El contenido del mensaje simula ser una actualización para servidores de correo.

Este Visual Basic Script infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Al ejecutar el archivo infectado, en forma inmediata, el gusano encripta todos los archivos con extensión .VBS ubicados en la carpeta C:\Windows\Samples\WSH que corresponde al Microsoft Windows Script Host, una muy útil y poderosa plataforma independiente, que facilita la ejecución de Scripts desde el Escritorio o la Línea de Comandos de los sistemas operativos. 

Si el gusano no encuentra el Microsoft Windows Script Host en el sistema, no procederá a infectarlo. Cabe mencionar que para facilitar los procesos o automatizar las tareas la  mayoría de equipos lo tienen instalado.   

Ednav, posee su propia rutina que encripta y desencripta archivos, la misma que insertará en todos los archivos que logre infectar, además de su código viral.

Cada vez que el usuario ejecute en forma aleatoria un archivo Visual Basic Script infectado, el gusano procederá a auto-enviar masivamente mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook, con dicho archivo anexado.  

Si la fecha del sistema es 1o, 30 o 31 del mes actual, el gusano borrará todos los archivos del Escritorio de Windows, los cuales tienen acceso directo para su ejecución, desde ese entorno gráfico. 

El archivo inicial infectado muestra un mensaje en pantalla: 



En la cabecera de los archivos infectados se puede leer el siguiente texto: 

"rem vandEEd0 que por introducion dose pares"

PER ANTIVIRUS® versión 7.6 con registro de virus al 21 de Agosto del 2002 detecta y elimina eficientemente este gusano.