VIRUS

VBS/Hard.A

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: Hard lead, VBS/Hard.A@MM, Hard.A, VBS/Hard-A, VBS/Hard@MM

VBS/Hard es un virus de Visual Basic Script descubierto el 12 de Mayo de 2001 que utiliza como gancho una falsa alerta de virus del Centro de Investigación Anti-Virus de Symantec sobre un virus inexistente llamado BS.AmericanHistoryX_II@mm.

Para su difusión, Hard envía un mensaje a todas las direcciones de correo electrónico de la agenda de OutLook Express del equipo infectado con el siguiente aspecto:

Original Message

From: warning@symantec.com
To: supervisor@av.net; security@softtools.com; Mark_fyston@storess.net; directorcut@ufp.com; Pjeterov@goldenhit.org; kim:di_yung@freeland.ch; James.heart@macrosoft.com
Asunto: FW: Symantec Anti-Virus Warning

Hello,

There is a new worm on the Net.
This worm is very fast-spreading and very dangerous!
Symantec has frist noticed it on April 04, 2001
The attached file is a description of the worm and how it replicates itself.

With regards

F. Jones
Symanted senior developer

Archivo Adjunto: www. Symantec.com.vbs

Cuando se ejecuta el archivo adjunto (cuya longitud es 23.268 bytes), los usuarios pueden ver una ventana de DOS en la que se puede leer:

Symantec Anti-Virus Check-up.
1 file(s) copies
c:\SWITCH\www.symantec.com.hta => c:\www.symantec.com.hta [ok]

A continuación, el gusano se copia en el fichero C:.SYMANTEC.COM.VBS.

Crea una página HTML en el fichero temporal c:/www.symantec.com {30500000000f4d-98B5-11CF-BB82-00AA00BDCE0B} que contiene la información del virus VBS.AmericanHistoryX_II@mm. Esta información es sobre un virus inexistente.

Una vez creada la renombra como c:.symantec.com.hta mediante el fichero c:.bat creado por el gusano anteriormente.

El gusano crea el fichero C:_SEND.VBS, que contiene el código que utiliza Outlook Express para enviar el archivo del gusano a todas las direcciones de correo electrónico listadas en la libreta de direcciones de Outlook Express. El Script también crea la siguiente entrada en el Registro de Windows con el valor "Hardhead_SatanikChild": 

HKLM\SOFTWARE\Microsoft\WAB\OE Done

Después el gusano crea el archivo C:MESSAGE.VBS, que contiene un mensaje que muestra su payload. Si la fecha actual del sistema es 24 de Noviembre el gusano mostrará un mensaje con el siguiente titulo y texto:

“Some shocking news”

Don’t look surpised!
It is only a warning about your stupidity
Take care!

Por último el gusano modifica cuatro entradas de registro para garantizar su ejecución cada vez que se arranque el sistema.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Outlook
HKEY_CURRENT_USERExplorer\Software\Microsoft\Internet Exploprer\Main\Start Page
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Message

Con estos respectivos valores:

C:\symantec_send.vbs
C:\symantec.com{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}(Página de Inicio de Internet Explorer)
C:\infected with Virus.vbs
C:\message.vbs


Copyright © VIRUSPROT.COM