GUSANO

VBS/Happytime

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: Happytime.A, BVS_Haptime.A, Happy Time, VBS/Helper, VBS/Haptime@MM

Descubierto el 29 de Abril de 2001 se trata de un gusano de Internet escrito en Visual Basic Script que se activa cuando el día y el mes suman el número 13, como son el 8 de Mayo y el próximo 7 de Junio pero a diferencia de otros virus de este tipo no llega en un archivo adjunto al correo sino como código script oculto dentro del diseño de fondo por defecto de los mensajes, lo que es un documento llamado UNTITLED.HTML donde se encuentra el script del virus.

Este gusano se propaga de dos formas diferentes - como un gusano similar a Kak y como un gusano de envío masivo. Happytime es capaz de infectar un PC aunque el usuario no abra el mensaje de correo electrónico que lleva el archivo adjunto del virus, distinguiéndole así de los gusanos de correo descubiertos hasta ahora.

Cuando la fecha permite que el script del virus se ejecute, éste se inserta al final de los archivos con extensión .ASP, .HTML, .HTT y .VBS e intenta borrar los archivos con terminación .DLL y .EXE del disco local y de la red.

Happytime guarda su código viral en HEL.HTA y HELP.VBS en el primer directorio que encuentre en la unidad C: y HELP.HTM y UNTITLED.HTM en el directorio de Windows.

Al principio de su código el gusano contiene el siguiente comentario:

I am sorry’ happy time

Si está activo en el PC un fondo de escritorio, el gusano lo modificará por el archivo HELP.HTM a través de la siguiente entrada:

HKCUPanel=%WinDir%HELP.HTM

De modo similar a Kak, este virus modifica la estación por defecto utilizada por Outlook Express de Microsoft por el archivo externo, %WinDir.HTM, lo que provoca que cada mensaje enviado contenga el código del virus oculto. Este parámetro se modifica en el registro para llevar a cabo este cometido:

HKCU(User ID)Outlook Express5.0Send HTML= ”1”

HKCU(User ID)

Outlook Express5.0Use Stationery=”1”

HKCU(User ID)

Outlook Express5.0Name=”%WinDir%.html”

Además, se infectan los archivos .HTT del directorio %WinDir%\WEB, con lo que el virus consigue ejecutarse cada vez que una carpeta se visualice en modo “pagina web”.

El virus rastrea las veces que ha sido ejecutado a través de una nueva entrada en el Registro en la que irá incrementando un valor:

HKCU\par

Una vez que el contador alcanza un múltiplo de 366, el gusano responde a todos los mensajes que aparecen en la bandeja de entrada de Outlook con el siguiente e-mail:

Asunto : Fw: <email of the sender>

Archivo adjunto: Untitled.htm

o

Asunto: Help

Archivo adjunto : Untitled.htm


Copyright © VIRUSPROT.COM