Pinprick

PINPRICK, gusano de alta propagación masiva vía Correo, infecta archivos .HTM, HTML y VBS.

VBS/Pinprick@mm, I.worm.pinprick.@mm

Pinprick es un gusano destructivo reportado el 18 de Junio del 2003, de propagación masiva, a través de mensajes de correo con Asuntos y Contenidos aleatorios y el archivos Anexado Winhtm32.html. Infecta archivos con extensiones .HTM, .HTML y .VBS en las unidades de Red con recursos compartidos.

Los textos de los Contenidos, son extraídos de cualquiera de los de la carpeta de Mensajes Enviados en los sistemas infectados.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Es un Visual Basic Script e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003.

Los mensajes tienen las siguientes características:

Asunto, uno de los siguientes:

Nothing Special
Uninstall information
Password confirmation
Notice
Re:
Some news
Hello
MP3s
Just a reply
Email changes
Reminder
File backup
Webpage builder
Some documents
Jokes
Some notes
Backup data
New [palabra]

[palabra] puede ser una de las siguientes:

login
email
download
password
domain
document
spreadsheet
file
webpage
[palabra 1] [palabra 2]

[palabra 1] puede ser una de las siguientes:

Email
Business
Web
Confidential
Printer
Webpage

[palabra 2] puede ser una de las siguientes:

passwords
files
documents
spreadsheets
folders
notes
tools
guides
scripts
summary

Contenido: es aleatorio y extraído de cualquiera de los de la carpeta de Mensajes Enviados.

Al ejecutar el archivo anexado, el gusano se auto-copia al directorio %Windir% la carpetas %System% y %Startup% con los siguientes nombres:

%Startup%\Winwsh32.vbs
%Windir%\Login32.vbs
%Windir%\Winmsgc.vbe
%System%\Winmsgc32.vbs
%System%\Winmsgc.vbe

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Startup% es una variable que corresponde a C:\Windows\Menú Inicio\Programas\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menú Inicio\Programas\Inicio en Windows NT\2000\XP.

Al re-iniciarse el sistema copia su código viral a todos los archivos con extensiones .HTM, .HTML y .VBS en las las unidades de Red con recursos compartidos y se envía masivamente a través de mensajes de correo electrónico.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
Infecta archivos con extensiones .HTM, .HTML y .VBS en las las unidades de Red con recursos compartidos.
Los archivos infectados no podrán ser ejecutados, quedando inutilizables.
Intenta saturar los servidores de Correo.

PER ANTIVIRUS® versión 8.1 con registro de virus al 18 de Junio del 2003 detecta y elimina eficientemente este gusano.