Real e Ilustre Colegio de Abogados de Zaragoza
 
VBS.Cuerpo.A@MM (VBS.p1xll3.A)
 
 
  
Nombre: VBS.Cuerpo.A
Alias: VBS.p1xll3.A
Categorías del virus: Gusano de VBS
¿Reparable?: Si
Fecha de aparición: 31/08/2001
Nivel de Riesgo (0-5): 2
Nivel de Distribución (0-5): 2
Nivel de Daños (0-5): 2
 
  
Descripción breve: 

          VBS/Cuerpo.A es un gusano polimórfico, escrito en Visual Basic Script, que se propaga a través del correo electrónico mediante MS-Outlook, ya sea como un fichero anexo con el mismo nombre que el asunto del mensaje en el que se incluye, o bien como código HTML dentro del propio mensaje. 

          VBS/Cuerpo.A crea una serie de ficheros en el sistema, modifica el Registro de Windows y sustituye la página de inicio del navegador Internet Explorer por http://www.freedonation.com. 
  
  
Modo de propagación: 
  
          VBS/Cuerpo.A se propaga buscando en todos los ficheros de extensiones txt, na2, wab, mbx, dbx y dat direcciones de correo electrónico a las que enviarse. 

          A continuación busca en la bandeja de entrada de Outlook mensajes con ficheros anexos. Si encuentra alguno, VBS/Cuerpo.A se copia en el directorio de sistema de Windows con un nuevo nombre que crea uniendo al nombre del fichero anexo del mensaje original, el texto " (9 Kbytes).vbs". En caso de que no exista ningún mensaje con ficheros anexos, el nombre del fichero que se crea estará compuesto por una serie de caracteres aleatorios, seguidos de la extensión TXT. 

          Por último, el mensaje en el que VBS/Cuerpo.A se envía tiene las siguientes características: 

    • De: <dirección del destinatario>
    • Para: <dirección del destinatario>
    • BCC (copia oculta): Varias direcciones de correo
    • Asunto: El mismo que el del nombre del fichero adjunto pero sin extensión
    • Fichero anexo: Un fichero cuyo nombre corresponde al mismo con el que VBS/Cuerpo.A se copió en el directorio de sistema de Windows.
  
Síntomas de infección: 

          El primer síntoma de infección es la recepción de un fichero con las características mencionadas anteriormente. 

          Por otro lado, VBS/Cuerpo.A crea un fichero de nombre WINSTART.BAT en el directorio C:\Windows. Ademas, el gusano se copiará en los siguientes directorios dependiendo del idioma de la instalación de Windows: 

  • c:\windows\startm~1\programs\startup\ <nombre_fichero.vbs>
  • c:\windows\menud'~1\programmes\d'marrage\<nombre_fichero.vbs>
  • c:\windows\menúin~1\programas\inicio\<nombre_fichero.vbs>
  • c:\windows\alluse~1\menuin~1\programas\iniciar\<nombre_fichero.vbs>
  • c:\windows\startmenü\programme\autostart\<nombre_fichero.vbs>
          También se copia en el directorio de la papelera de reciclaje (C:\recycled) y en el directorio de sistema de windows, modificando el Registro para que se llame a esta nueva copia cada vez que se inicia Windows.  

          Adicionalmente, VBS/Cuerpo.A crea un fichero de tipo HTML y de nombre aleatorio, en el que copia las direcciones de correo electrónico que ha encontrado, junto con instrucciones para conectarse a la dirección http://www.mycgiserver.com/~hunger/, en la que intentará ejecutar un formulario php de captura de datos. Este formulario recibe la información guardada en el fichero HTML. 

          Por último, VBS/Cuerpo.A substituye la página de inicio del navegador Internet Explorer por www.freedonation.com. Esto lo consigue creando un fichero de nombre BLANK.HTM en el que copia una orden para abrir el navegador en esa página. Destacamos también que si el gusano vuelve a ejecutarse cuatro días despúes de su primera ejecución, crea una entrada en el Registro de Windows que apuntará igualmente a la página www.freedonation.com.  
  
  
Métodos de infección: 
  
          Una vez se ejecuta el código del gusano, se crea un fichero de nombre WINSTART.BAT en el directorio c:\windows. En este fichero se graba parte del código del propio gusano. Como conseciencia de esto, la próxima vez que se reinicie Windows se ejecutará WINSTART.BAT, que contiene las líneas de código del nuevo VBS y comandos de 'eco', con redirección de MS-DOS, del tipo "echo xxxxxxxx >>nombrefichero" (donde nombrefichero es un nombre aleatorio creado en la última ejecución del gusano). Esto provoca que se grabe el contenido de cada línea en el fichero de salida. De este modo se obtiene un fichero de tipo VBS con el código del verdadero gusano. 

          VBS/Cuerpo.A entra en acción cuando se intenta abrir una página concreta del usuario "pixel" de la siguiente dirección:  http://www.mycgiserver.com.  Esta página contiene el código del gusano.  

          La primera línea del código de VBS/Cuerpo.A contiene un REM seguido de los nombres aleatorios de todas las variables que usará el gusano, los cuales pueden tener entre 3 y 10 caracteres de tamaño. 

          VBS/Cuerpo.A realiza las siguientes modificaciones en el Registro de Windows:  

  • Pone a cero la entrada:

    • HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout 
  • Crea una entrada de nombre:

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ 
  • Modifica el fichero C:\AUTOEXEC.BAT para que en el siguiente reinicio del sistema se añada al Registro de Windows la siguiente entrada:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "nombre_del_fichero" = c:\recycled\ 
    Esto lo consigue grabando la entrada del Registro en un fichero de tipo REG, pero con un nombre creado de forma aleatoria. 
  • Crea una entrada para llamar a la copia de sí mismo que incluye en el directorio de sistema de Windows  en cada arranque del sistema. 
  • Modifica la siguiente entrada:

    • HKCU\Software\Microsoft\Internet Explorer\Main\Start Page 
    para que apunte a la página http://www.freedonation.com 
  • Graba información que le permite saber cuando se ejecutó por primera vez como parte del nombre de una de las entradas de

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion. 
  • Por último, VBS/Cuerpo.A borra el fichero C:\WINDOWS\WINSTART.BAT para evitar dejar rastros de la infección.