GUSANO
Cuerpo
|
Aparecido en septiembre de 2001, el gusano polimórfico
"Cuerpo", un código maligno que infecta equipos que
trabajen bajo sistemas Windows 9x o Me e Internet Explorer 5.0
o superior con la vulnerabilidad conocida como "Scriptlet.TypeLib",
que permite la ejecución de un código que llegue en mensaje
HTML sin necesidad de ejecutar el adjunto, es decir, sólo por
visualizarlo.
El origen de Cuerpo es una página HTML de un site que ya ha sido cerrado para evitar la propagación del gusano y que se realizaba del siguiente modo: cuando el usuario accedía al site en cuestión leía una ventana con el siguiente mensaje: "Some software (ActiveX controls) on this page might be unsafe. It is recommended that you do not run it. Do you want to allow it to run?. Yes /No" ("Algunos elementos de software (controles ActiveX) de esta página podrían no ser seguros. No se recomienda ejecutarlos. ¿Quiere permitir que se ejecuten? Sí/No.") Si la elección del internauta era "yes" quedaba infectado automáticamente por el virus. Pero Cuerpo también puede llegar al sistema con forma de e-mail, con la característica peculiar de que el asunto, cuerpo y el adjunto no será fijo. En este caso, el virus llega dividido en dos partes: un script de Visual Basic, oculto en el código HTML, y en el archivo adjunto. No obstante, hay que resaltar que el nombre del adjunto, aunque se elija al azar, lleva una doble extensión que siempre termina en "(9 kbytes).vbs" y va precedido por 16 espacios en blanco, con el fin de que el usuario crea que es el tamaño del archivo, cosa que no es cierta. Tras la infección el gusano tiene los siguientes efectos en el PC infectado: - Crea un archivo WINSTART.BAT en la carpeta "\Windows" lo que hará que se ejecute cada vez que se reinicie este programa. - Busca todas las direcciones de correo de los discos duros locales y en red examinando todos los archivos que terminen en .TXT, .NA2, .WAB, .MBX, .DBX y .DAT y las envía al site del creador del virus. Por otro lado, aprovecha las funciones MAPI para hacerse con todos los contactos de la libreta de direcciones de Outlook. Además, se agrega a todas las firmas usadas por el Outlook con lo cual cada mensaje nuevo en formato HTML que se envíe irá infectado. - Se copia en la carpeta oculta RECYCLED (papelera de reciclaje) con el nombre rndmein.vbs. - Modifica la página de inicio de Internet Explorer introduciendo el archivo BLANK.HTM que contiene un enlace a la dirección http://www.freedonation.com. - Modifica diversos archivos del sistema. |
