Real e Ilustre Colegio de Abogados de Zaragoza
 
VBS/VBSWG.L (VBS/Antrax)
 
 
  
Nombre: VBS/VBSWG.L
Alias: VBS/Antrax
Categorías del virus: Gusano
¿Reparable?: Si
Fecha de aparición: 16/10/2001
Nivel de Riesgo (0-5): 1
Nivel de Distribución (0-5): 1
Nivel de Daños (0-5): 2
  
  
Descripción breve: 

          El VBS/VBSWG.L es un gusano diseñado para enviarse a través del correo electrónico a todos los contactos de la libreta de direcciones de Microsoft Outlook. Sin embargo, ciertas variantes del gusano presentan errores de programación que impiden que el fichero adjunto sea recibido por el usuario al que se pretende infectar. Adicionalmente, VBS/VBSWG.L puede enviarse a través de las aplicaciones de chat mIRC y Pirch (aunque también se han detectado errores en estas funciones). Una de las acciones que realiza este virus consiste en sobreescribir con su código todos los ficheros con extensiones VBS y VBE.

          Existen varias versiones de este gusano, generadas con el generador de gusanos Vbswg 1.0. Una de ellas está creada con el generador Vbswg 2 Beta.
  
  
Modo de propagación: 
  
          Este gusano utiliza el correo electrónico para propagar su infección a otros ordenadores. En concreto, se envía a sí mismo a todos los contactos almacenados en la libreta de direcciones de Microsoft Outlook. Los mensajes enviados presentan las siguientes características:

          - Asunto: Antrax Info (este asunto puede variar según la versión).
          - Cuerpo del mensaje: Puede ser uno de los siguientes:
                    "si no sabes que es el antrax o cuales son sus efectos aqui te mando una
                     foto para que veas los efectos que tiene."
                     Nota: la foto esta un poco fuerte.
                    "Aqui te mando este documento para que sepas que es y cuales son los
                     efectos del «Antrax»"
                    "como ahorita esta de moda hablar sobre el antrax aqui les mando una
                     foto de un enfermo terminal"
          - Fichero adjunto: También varía de nombre según la versión, pero sigue un patrón común:
            comienza por Antrax y la extensión final es VBS. Entre los nombres que podría tener el
            fichero adjunto podrían estar los siguientes:
                    "antraxinfo.vbs"
                    "antrax.jpg.vbs"
                    "antrax.doc.vbs"

          Recuerde que ciertas variantes de este gusano presentan errores de programación que impiden el envío del fichero adjunto. 

          Es interesante destacar que una vez que el gusano se ha enviado por correo elimina los mensajes enviados, para eliminar el rastro de su presencia en el sistema.
  
 
Síntomas de infección: 

          Uno de los síntomas más apreciables de la presencia de este gusano en el ordenador tiene lugar cuando la fecha de éste coincide con el 26 de Enero. Cuando esta condición se cumple, el gusano muestra el siguiente mensaje en pantalla:
 

 
          No obstante, la acción más destructiva de este virus consiste en sobreescribir el contenido de los ficheros con extensiones VBS y VBE que encuentre en el ordenador afectado.
  
  
Métodos de infección: 
  
          En primer lugar, el gusano se copia a sí mismo en el directorio de sistema de Windows con el nombre ANTRAXINFO.VBS. A continuación modifica la siguiente entrada del registro de Windows para conseguir ejecutarse la próxima vez que se arranque el ordenador afectado: 

          HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antraxinfo à
          "wscript.exe C:\WINDOWS\SYSTEM\antraxinfo.vbs %"

          Este gusano realiza ciertas modificaciones en el registro de Windows. Mediante una de estas modificaciones el virus puede saber si ya se ha enviado por correo anteriormente. En concreto, cuando el virus se envía por correo asigna el valor 1 a la siguiente entrada del registro: HKCU\software\Antrax\mailed. Si el gusano comprueba que esta entrada del registro tienen el valor 1, no se volverá a enviar por correo.

          En cuanto a su propagación a través del cliente de chat mIRC, el gusano busca el fichero MIRC.INI en los directorios: c:\mirc, c:\mirc32, así como en el directorio que encuentre en la siguiente entrada del registro: 

          HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ProgramFilesDir

          Si encuentra el fichero MIRC.INI en alguno de estos directorios el virus crea el fichero SCRIPT.INI. Este fichero será el encargado de enviar una copia del virus (la creada en el directorio de sistema) a través del programa mIRC.

          Una vez creado el fichero SCRIPT.INI el virus asigna el valor 1 la siguiente entrada del registro para no volver a generar el fichero:

          HKCU\software\Antrax\Mirqued

          En lo que se refiere a la propagación del gusano a traves del cliente de chat Pirch, VBS/VBSWG.L busca el fichero Pirch32.exe en los directorios: c:\pirch, c:\pirch32, así como en el directorio que se encuentre en la siguiente entrada de registro: 

          HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ProgramFilesDir

          Si encuentra el fichero Pirch32.exe en alguno de estos directorios el virus crea el fichero EVENTS.INI. Este fichero será el encargado de enviar una copia del virus (la creada en el directorio de sistema) a través del programa pIRCH. Una vez creado el fichero EVENTS.INI el virus asigna el valor 1 la siguiente entrada del registro para no volver a enviarse por este medio:

          HKCU\software\Antrax\pirched

          Finalmente, es interesante mencionar que el código del virus puede contener uno de los siguientes textos (dependiendo de la versión). Como se puede observar, estos textos parecen hacer referencia al creador del virus:

          - Vbs.Antrax Created By wAsEk
            Vbswg 1.0. Alamar.
          - Vbs.Antrax Created By wAsEk
            Antrax Worm By wAsEk.
          - Vbs.Vbswg.Antrax Created By wAsEk
            Vbswg 2 Beta. By [K]