THALIA, gusano de alta propagación masiva vía E-mail y Chat con atractivo mensaje. Satura servidores. 

© Jorge Machado  Lima-Perú

W32/Thalia@MM, W32/Thalorm@mm

Thalia es un gusano reportado el 16 de Noviembre del 2002 de alta propagación masiva a través de mensajes de correo y Chat, debido a que su Asunto y Contenido, ambos aleatorios, supuestamente contienen fotos de la popular cantante mexicana Thalia, algunas de ellas desnuda.

El gusano se propaga con un archivo anexado de nombre Thalia.chm, de 17 KB, que es un .HTML compilado e infecta a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Los asuntos y contenidos de los mensajes auto-enviados son elegidos en forma aleatoria entre cualquiera de los siguientes formatos pre-definidos en el código del virus:

Asunto, uno de los siguientes : 

Fotos de Thalia 
Free Pics 
Fotos XXX de Thalia 
Fotos Exitantes de Thalia

Contendido, una de las siguientes frases:

Checa estas fotos de Thalia 
Hola que tal? ya viste las super fotos exitantes de Thalia 
Como tas! aqui te mando unas fotos de Thalia 
Para mis mejores Amigos fotos de Thalia 
Fotos XXX de Thalia 
unas fotos bien padres de Thalia 
Imagenes insolitas de Thalia 
Apuesto a que no has visto desnuda a Thalia 
HOLA! TE RETO A CHECAR ESTAS FOTOS BIEN CHIDAS DE Thalia 
Fotos Exitantes de la cantante Thalia 

Si el receptor del mensaje ejecuta el archivo infectado, el gusano se auto-copia al directorio de %Windows% con el nombre Thalia.chm y modifica la siguiente llave de registro que contiene el los datos del Usuario, a nombre del cual se encuentra registrado el Sistema Operativo:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]
RegisteredOwner = Thalia

Para activarse la próxima vez que se inicie el sistema, agrega el siguiente valor al registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Thalia = "C:\%Windows%\Thalia.CHM"

%Windows% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

Al re-iniciarse el sistema el gusano buscará las direcciones de correo contenidas en la Libreta de Direcciones de MS Outlook y se auto-enviará a las mismas, con un efecto multiplicador.

También buscará en el sistema infectado la carpeta del software mIRC en "Archivos de programa" y de hallarla sobre-escribirá y modificará el archivo script.ini para ser auto-enviado a cada usuario que participe en una misma sesión de Chat. 

Si el sistema infectado tiene instalado los Controles ActiveX se mostrará una ventana gráfica con el texto:

Acepta el Active X 
para poder ver las fotos de
Thalha!!!!

El SCRIPT.INI es un archivo capaz de afectar a todos los programas basados en las redes del IRC (Internet Chat Relay). Contiene comandos que permiten a otras personas controlar en forma remota las sesiones de IRC de un usuario infectado, observar las conversaciones que éste mantiene y otras acciones adicionales, tales como terminar o cancelar una conversación o sesión de Chat.

Este script se puede reproducir auto-enviándose a través de una transferencia DCC (Direct Control Command) y al hacerlo, toma ventaja de dos funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-DCC-get) y la ejecución automática de cualquier archivo llamado SCRIPT.INI que se encuentre en el directorio de instalación de la aplicación.

El SCRIPT.INI puede realizar, entre otras cosas, lo siguiente:

El gusano Thalia no tiene ningún payload destructivo, pero a causa de su atrayente mensaje se ha empezado a propagar, principalmente en países iberoamericanos e incluso en los Estados Unidos donde reside la bella cantante, amenazando con saturar servidores.

PER ANTIVIRUS® versiones 7.7 y 7.8 con registro de virus al 16 de Noviembre del 2002 detectan y eliminan eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS