VBS/Horty@MM, VBS Kagra@MM

Horty es un gusano reportado el 25 de Abril del 2002. Se propaga masivamente mediante el envío de mensajes de correo electrónico con un archivo anexado de nombre: JENNA-JAMESON-FREE-SUPERFUCK.TXT.vbs, el cual es alusivo al de una famosa estrella de cine porno. La segunda extensión .vbs tiene el atributo de oculto y no se muestra, aparentando ser un simple archivo de texto. 

Debido a que el Asunto y el Texto del mensaje mencionan contener fotos de esta popular artista de películas Triple X, además de direcciones de websites pornográficos, despierta la curiosidad de muchos usuarios novatos o morbosos. Por esta razón ha tenido una rápida propagación en varios países del mundo.

Haciendo uso de las funciones de la interfaz de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado se envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express.

El tamaño del archivo enviado es de 7.6 KB y es un PE (Portable Ejecutable) que infecta infecta todos los sistemas operativos Microsoft Windows 95/98/NT/2000/Me/XP 95/98/NT/Me/2000, incluyendo los servidores NT/2000. 

Al ejecutar el archivo infectado el gusano verifica si está siendo ejecutado desde la unidad A: o B: y de ser el caso el archivo JENNA-JAMESON-FREE-SUPERFUCK.TXT.vbs será copiado a C:\x-FUCK.TXT.vbs y luego ejecutado. De otro modo Horty se auto-copiará a las siguientes carpetas con estos nombres de archivos:

C:\Windows\JENNA-JAMESON-FREE-SUPERFUCK.TXT.vbs
C:\Windows\Kernel32.vbs
C:\Windows\System\ALEXIA.TXT.vbs
C:\Windows\Temp\Natasa.TXT.vbs

Para activarse la próxima vez que se inicie el sistema, el gusano crea la siguiente llave de registro:

[HKLM\Software\Microsoft\Windows\CurrenVersion\Run]
C:\Windows\kernel32.vbs

Si la copia del gusano no se ejecuta desde C:\Windows\kernel32.vbs, entonces creará el archivo de texto C:\JENNA-JAMESON-FREE-SUPERFUCK.txt y será abierto en la Libreta de Notas de Windows (Notepad). Este texto contiene direcciones de sitios web con contenido pornográfico.

Si se ejecuta el archivo desde la unidad A: o B: se crearán los siguientes archivos infectados:

• KISSme.TXT.vbs
• PUSSY.TXT.vbs
• x-FUCK.TXT.vbs
• 2TITS.TXT.vbs
• myDICK.TXT.vbs
• PORN.TXT.vbs
• UFOxxx.TXT.vbs
• ALIENS.TXT.vbs
• theBAR.TXT.vbs
• DrDICK.TXT.vbs

Horty tiene es siguiente payload destructivo:

El gusano se auto-enviará 4 veces desde el sistema infectado y el 13 de Mayo borrará el directorio de Windows y el 12 de ese mismo mes mostrará la siguiente caja de diálogo:

Tu PC ha sido hackeada por KaGra[ATZI virus ver 2,1]

PER ANTIVIRUS® versión 7.4 con registro de virus al 25 de Abril del 2002 detecta y elimina eficientemente este gusano.