|
HYPOTH, de propagación masiva vía Correo, trunca archivos VBS, VBE,
de audio y video.
|
|
©
Jorge Machado Lima-Perú
|
|
VBS/Hypoth@MM,
I-worm.Hypoth
Hypoth es
un gusano reportado el 27 de Noviembre del 2002, de alta propagación masiva
a través de mensajes de correo de varios formatos, con Asuntos y Contenidos
personalizados y archivos anexados de
diversos nombres con extensión .vbs, de efectos
destructivos. Infecta los archivos con extensión .VBS y
VBE y renombra los de audio y
video,
dejándolos inutilizables.
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/XP,
ha sido desarrollado en lenguaje Visual
Basic Script y tiene 83 KB de extensión
El formato de correo pude ser uno de los
siguientes:
Asunto: Hey <nombre_de_destinatario>!
Contenido:
<nombre_de_destinatario>! Get free mp3s from the web site that i go to! I can get almost any music that I want, just look at all the cool sites that I went to in the attachments.
Bye
Anexado: Sitelist.vbs
Asunto: Hello <nombre_de_destinatario>!
Contenido:
Have fun with these great jokes!
<nombre_de_remitente>
Attachment: Jokes.vbs
Asunto: Here is that file you wanted, <nombre_de_destinatario>!
Contenido:
This is the file you wanted - don't let anyone else see it!
<nombre_de_remitente>
Anexado: Confidential.vbs
Asunto: Check this out, <nombre_de_destinatario>!
Contenido:
Hello <nombre_de_destinatario>, check out these pictures of my last holiday! Don't get jealous!
<nombre_de_remitente>
Anexado: Holidaypics.vbs
Asunto: Urgent Update!
Contenido:
<nombre_de_destinatario>,
Your computer will need this update to protect your computer from new email viruses. I installed this update and it works fine.
Thanks.
Anexado: SecurityUpdate.vbs, Update.vbs, UpdateSecurity.vbs, UpdateInstaller.vbs, UpdateSetup.vbs, or Readme.vbs
Al ser ejecutado se auto-copia a la carpeta
%System% con uno o más de estos nombres
de archivos:
- Runmsdsk32.vbs
- Sitelist.vbs
- Winnt32.vbs
- Jokes.vbs
- Confidential.vbs
- Runmnt32.vbs
- Holidaypics.vbs
- Securityupdate.vbs
- Update.vbs
- Updatesecurity.vbs
- Updateinstaller.vbs
- Updatesetup.vbs
- Readme.vbs
- <nombre_aleatorio>.vbs
Para activarse la próxima vez que se inicie
el sistema, agrega a la llave de registro uno de los siguientes valores que
invoca a cualquiera de
los archivos antes detallados:
Runxpdsk32
Winnt32
Runmnt32
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
runmnt32 = "%System%\Winnt32.vbs"
%System%
es la variable C:\Windows\System para
Windows 95/98/Me, C:\Winnt\System32 para
Windows NT/2000 y C:\Windows\System32
para Windows XP.
A continuación manipula las librerías MAPI
(Messaging Application Programming Interface) y se auto-envía a todos los
buzones de correo de la Libreta de Direcciones de MS
Outlook. Para no volver a
usar las direcciones ya enviadas, éstas son archivadas en la llave de registro
de Correo Enviado:
[HKEY_CURRENT_USER\Software\Theory\RecordContacts]
Después de enviar los mensajes, el gusano rastrea todas las unidades de disco
buscando los archivos con extensión .vbs y
.vbe a los cuales inserta su código viral,
dejándolos inutilizables.
Par concluir sus efectos destructivos, este gusano agrega la extensión .vbs
y se adhiere a todos los archivos .mp3,
.mp2, .mpg, .mpe, .mpeg, .avi,
y .mov, de este modo los trunca y
ya no será posible ejecutarlos.
Su payloads son los siguientes:
- Se auto-envía masivamente a través de
mensajes personalizados de correo.
- Infecta los archivos con extensión .vbs
y .vbe dejándolos inutilizables.
- Cambia la extensión a .vbs
y se adhiere a archivos de audio y video
dejándolos inutilizables.
PER
ANTIVIRUS®
versión 7.7 con
registro de virus al 27 de Noviembre del 2002 detecta y elimina
eficientemente este gusano.
