Randa

Randa, de propagación masiva borra archivos VBS y provoca Negación de Servicio a la web de Kaspersky

Vbs.Randa@mm, I.worm.Randa@mm

Randa es un gusano reportado el 23 de Agosto del 2002, de gran difusión masiva en Internet, sobre todo entre los usuarios de habla hispana, por su Asunto y Contenido en español. Se propaga en mensajes de correo con un archivo anexado de doble extensión de nombre Miradadesdeelcoño.jpg.vbs, que ocupa 4.5 KB de espacio.

Randa es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Al ejecutar el archivo el gusano se auto-copia a C:\%system% con el nombre Miradadesdeelcoño.jpg.vbs

%system% es una variable que corresponde a la ruta C:\Windows\System en Windows 9x/ME y a C:\Winnt\System32 en Windows NT\2000\XP.

Para ejecutarse la próxima vez que se inicie el sistema agrega la siguiente llave de registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Default" = "%System%\Miradadesdeelcoño.jpg.vbs"

Randa ha sido desarrollado con el VBSWG (Visual Basic Script Worm Generator), creado por el hacker argentino de 19 años auto-denominado [K]alamar, aunque definitivamente no es el autor de este gusano.

Los payloads de este gusano son:

Envío masivo de mensajes de correo a la Libreta de Direcciones de MS Outlook.
Infecta todos los archivos del sistema que tengan la extensión .vbs dejándolos inutilizables.
Intenta ocasionar una Negación de Servicio DoS, saturando al portal de un antivirus de origen ruso:

http://www.kaspersky.com

PER ANTIVIRUS® versión 7.6 con registro de virus al 23 de Agosto del 2002 detecta y elimina eficientemente este gusano.