Tavo

TAVO, gusano de propagación masiva vía Correo, borra archivos de la carpeta \Mis documentos, etc.

VBS/Tavo@mm, I-worm.tavo@mm

Tavo es un gusano reportado el 17 de Abril del 2003, de propagación masiva a través de mensajes de correo con un archivo anexado de nombre IESRACK.VBS, desarrollado en el Perú por un hacker conocido como RackCrack y propagado desde España, por miembros de su grupo de creadores de virus con sede en México.

Es un Visual Basic Script e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a la Libreta Global de Windows WAB (Windows Address Book).

Al ejecutar el archivo anexado, el gusano se copia a la ruta %Windir%\help\iesrack.vbs y para ejecutarse la próxima vez que se inicie el sistema, crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TavoScript" = "%Windir%\help\iescrack.vbs"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al activarse el archivo infectado, borra todos los archivos de la carpeta \Mis documentos de cualquier unidad de disco y los días 11 de cada mes muestra la siguiente caja de diálogo:

Después ejecuta su rutina de auto-envío de mensajes de correo y marca este proceso, generando la siguiente llave, a la cual le agrega el valor de "1"

[HKEY_CURRENT_USER\Software\TavoScript\correo]
TavoSnd = "1"

El gusano verifica cada ocho minutos, la presencia de un diskette activado en la unidad A: sin protección contra escritura y de hallarlo, se auto-copia a ese medio con uno de los siguientes nombres:

ANALISIS EXAUSTIVO EN EL LOBULO CENTRAL DEL CEREBRO.DOC.VBS

AVISO.DOC.VBS, BRITNEY SPEARS.WAV.VBS

CARATULA.CDR.VBS

ESTADO DE CUENTAS.DOC.VBS

ESTIMADOS SEÑORES.DOC.VBS

IMPORTANTE.TXT.VBS

INVENTARIO DE LOS.DOC.VBS

JUEGO.EXE.VBS

LEEME.TXT.VBS

LISTA DE CUMPLEAÑOS.DOC.VBS

MATRICULA DE ALUMNOS.XLS.VBS

NIÑOS DE 2 AÑOS.DOC.VBS

PLANILLA GENERAL.XLS.VBS

RACKCRACK.EXE.VBS

RELACIÓN.DOC.VBS

SEXO.JPG.VBS

SOLICITUD.DOC.VBS

SUNAT.XLS.VBS

WD19.TMP.VBS.

Los días 9 de cada mes, agrega una cadena a los archivos de texto que se encuentren activados:

Danger!... I'm New FeLiNo GZ.LyoN.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
Usa además la Libreta Global de Windows WAB (Windows Address Book).
También infecta a través de diskettes.
Muestra en pantalla una caja de diálogo.
Borra todos los archivos de la carpeta \Mis documentos.
Se auto-copia a los diskettes sin protección contra escritura, con una variedad de nombres de archivos, con doble extensión, terminado en .VBS
Agrega una cadena de texto a los archivos .TXT activos o en ejecución.

PER ANTIVIRUS® versión 8.0 con registro de virus al 17 de Abril del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 7 horas entre Perú (-5 GMT) y España (+2 GMT)