GUSANO

VBS/Pica.A

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: DS9.vsb, I-Worm.Lee, OSTERHASE.vbs, PICARD.vbs, VBS/Pica.worm.gen
Primera Aparición: Junio del 2000
Origen: Alemania
Tamaño: 2195

Es un gusano de Internet que se envía a sí mismo a través de correo MAPI y a canales IRC mediante un archivo de configuración mIRC modificado. 

El nombre de este archivo script es "DS9.vbs". Esto es una referencia a un programa de televisión llamado "Deep Space Nine". Otra variante de esta familia se llama "PICARD.vbs", posiblemente inspirado en uno de los personajes del programa llamado "Picard".

Este gusano intenta enviarse a sí mismo a través de correo MAPI con este formato:
Referencia: "Hi check This..."
Cuerpo: "Hello..your Game is Over..By Q from Lee"
Archivo adjunto: "Ds9.vbs"

Una vez se ha enviado a todos los destinatarios disponibles de la agenda de direcciones, modificará el registro con la etiqueta: "HKCU\software\Ds9\mailed"="1".

El autor de este gusano adoptó esta técnica de VBS/Loveletter.worm.

Siguiendo la rutina del correo MAPI, este gusano intenta modificar las instalaciones existentes de mIRC cambiando SCRIPT.INI para enviar el archivo "DS9.vbs" a los usuarios que se conectan a los canales IRC.
El registro es modificado de nuevo con la etiqueta: "HKCU\software\Ds9\Mirqued"="1"
El gusano contiene en su código la línea de comentario "‘Worm Created by Ds9 –> Lee"

Signos de infección:
- Modificaciones en el registro (mencionadas anteriormente)
- Distribución de correo
- Distribución en canales IRC.
- Modificaciones en SCRIPT.INI para enviar el archivo "DS9.vbs".
- Aparición del archivo DS9.vbs alojado en la carpeta System del directorio de Windows

Métodos de infección
Se trata de un archivo Script Host de Windows (WSH) por lo que los sistemas que no tienen WSH o aplicaciones de Visual Studio instaladas, no corren ningún riesgo.

El script modificará el registro para cargarse al iniciar Windows a adiendo la entrada:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Lee
Si se encuentra esta estrada, se debe borrar.

Se han encontrado las variantes VBS/Pica.b y VBS/Pica.c.


Copyright © VIRUSPROT.COM