GUSANO

Aplore

Índice

Alias: Aphex

Aparecido el 4 de septiembre de 2002, este gusano programado en Borland Delphi, llega como un adjunto, de nombre "psecure20x-cgi-install.version6.01.bin.hx.com", a un mensaje de correo electrónico de asunto y cuerpo "." que enviará a todos los e-mails encontrados en la agenda de direcciones de Outlook empleando los archivos SWCRIPT.EXE e EMAIL.VBS que descarga en el directorio del sistema.

En caso de ejecución del adjunto, el gusano crea un archivo de 0 bytes llamado IPHIST.DAT en el directorio donde se ejecuta. Al mismo tiempo, genera EXPLORER.EXE, que en realidad en una copia del propio gusano, en el directorio Windows\System. A continuación el gusano borra el archivo de la ruta desde la que se ejecutó y permanece residente en memoria instalando su propio servidor web en el equipo.

Con el archivo INDEX.HTML, el gusano genera una página web "falsa" con el siguiente aspecto y que invita al usuario a descargar y ejecutar su archivo sobre el sistema:

Browser Plugin Required:
You may need to restart your browser for changes to take affect.
Security Certificate by Verisign 2002.
MD5: 9DD756AC-80E057FC-E00703A2-F801F2E3

Click HERE and choose "Run" to install.

En el mismo directorio que los demás archivos, instala el archivo de imagen, APHEX.JPG además de crear una entrada en el registro de Windows con el fin de ejecutarse cada vez que se arranque el equipo.

Otra rutina es la de enviar mensajes a través de la aplicación de chat IRC con el texto FREE PORN: http://free:porn@x.x.x.x:8180, donde las "x" representan la dirección IP de la máquina afectada. Si se lleva a cabo la conexión a través del navegador de Internet, aparecerá la siguiente pantalla: <<...OLE_Obj...>>

De esta forma, intenta conseguir que otros usuarios descarguen a su vez el gusano en su equipo.

En esta ocasión, aunque los usuarios pueden identificar rápidamente por su forma que el mensaje que reciben a través de e-mail o el chat en realidad porta este código malicioso, no está de más instalar una solución anti-virus lo más actualizada posible en el equipo.


Copyright © VIRUSPROT.COM