VBS.China, gusano destructivo, borra archivos del sistema dejándolo inutilizable


VBS.China@MM, I-worm.China, BAT/Way

Vbs.China, es un gusano reportado el 28 de Junio del 2002, con efectos muy destructivos, que se propaga masivamente a través de mensajes de correo haciendo uso de la la Libreta de Direcciones de Microsoft Outlook y Outlook Express y del IRC (Internet Chat Relay), con al archivo anexado readme.TXT.vbs, que tiene una extensión de 10.3 KB.






Ha sido desarrollado con el VBSWG (Visual Basic Script Worm Generator), creado por [K]alamar.

Este gusano es un PE (Portable Ejecutable) que infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.



Al ejecutar el archivo infectado, el gusano realiza la siguiente serie de acciones:

Se auto-copia al directorio raíz C: eame.txt.vbs
También se auto-copia con el nombre de chinaboy.jpg.bat que crea una carpeta con el mensaje C:I_LOVE_CHINA_BLACK_AT_PACIFIC_PLAZA
Se auto-copia a la carpeta de Windows con los siguientes nombres: china_babes.bat, china_boys.bat y china_girls.bat.
Crea el archivo china.reg en los directorios que el AUTOEXEC.BAT indique en su ruta o path, el mismo que modifica la llave del registro de Windows. Luego sobre-escribe todos los archivos con extensión .reg en las carpetas donde los ubique.
Crea el archivo china_hunks.vbs en los directorios que el AUTOEXEC.BAT indique en su ruta o path, el mismo que modifica la llave del registro de Windows. Luego sobre-escribe todos los archivos con extensión .vbs en las carpetas donde los ubique.
Se auto-copia al directorio raíz como china_ladies.bat y sobre-escribe todos los archivos con extensión .BAT en las carpetas donde los ubique, incluido el AUTOEXEC.BAT.
Se auto-copia al directorio raíz como pif.pif para poder ejecutarse cuando se abra una ventana MS-DOS.
Se auto-copia al directorio raíz como vbs.lnk creando de esta manera un acceso directo a cualquiera de los archivos infectados por el gusano y sobre-escribe todos los archivos con extensión .LNK en las carpetas donde los ubique.
Si el software de chat mIRC está instalado, se auto-copia al archivo script.ini, para propagarse a través del canal de chat, infectado a todos los usuarios conectados a una misma sesión.
Para activarse la próxima vez que se inicie Windows, china.reg modifica la llave de registro:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
Chinablackblackblack = "c:windowschina_girls.bat"


Vbs.China tiene los siguientes payloads destructivos:

Borra archivos de los programas antivirus y elimina el contenido del WIN.INI y el SYSTEM.INI, con lo cual deja inutilizable al Sistema Operativo.



Otras noticias de interés:

Vulnerabilidad en control de instalación ActiveXen MS - Internet Explorer
Ha sido identificada una vulnerabilidad en Microsoft Internet Explorer, que puede ser explotada por un atacante remoto para tomar el control total del sistema infectado....
Aparece Pimaf, un virus de origen ruso que puede saturar tu PC
Pimaf es un virus de tipo gusano de origen ruso capaz de saturar los servidores WEB y LAN, estaciones de trabajo y ordenadores domésticos. Se propaga en mensajes con un archivo anexado de nombre MyNewPics.PIF con una extensión de 51.5 KB. ...
Británicos desarrollan la banda ancha más rápida del mundo
Los habitantes del barrio de Shoreditch, en el Este de Londres, serán los primeros afortunados en utilizar un nuevo y revolucionario sistema de banda ancha catalogado como el más rápido del mundo, según informa el diario The Times....
Gobiernos usan técnicas #hackers para espiar
El mes pasado en un lujoso hotel de Washington, gobiernos de todo el mundo se reunieron para discutir DC, como aprovechar la tecnología en favor de una vigilancia más estricta para los ciudadanos....
Apple presenta un parche que permite usar Windows en los Macs
Apple Computer, el fabricante de los ordenadores Macintosh y de los reproductores de música iPod, ha presentado un parche de software que permite por primera vez el uso del sistema operativo de Microsoft Windows en sus ordenadores, una maniobra que ...
Un Joystick Vocal ayuda a los discapacitados a manejar el ordenador
Convierte sonidos vocálicos sencillos en movimientos del cursor sobre la pantalla. Informáticos e ingenieros de la Universidad de Washington han creado un Joystick Vocal que permite mover el cursor del ordenador a personas discapacitadas. ...
Agujero de seguridad en WordPress
Desde el blog de Rooibo, el autor explica en forma sencilla como trabaja este nuevo fallo de WordPress....
Un parche de Firefox publicado en diciembre empeora una vulnerabilidad
Mozilla ha publicado, en un anuncio descolgado del resto, que la última versión 2.0.0.2 del navegador Firefox también corrige una vulnerabilidad introducida por un parche anterior. El parche, publicado en diciembre, no sólo no corregía el ...
Commodore resucita de la mano de Tulip Computers
Tulip Computers, propietario de la marca Commodore, planea relanzar la marca para tomar ventaja en el mercado, buscando el resurgimiento del interés sobre el obsoleto ordenador Commodore 64 (C64). ...
Primeros pasos para la implantación de IPv6
Finalmente, el uso de IPv6 empieza a dar sus primeros y tímidos pasos hacia el gran público, después que seis de los trece servidores de nombres raíz hayan añadido soporte para registros AAAA, que son los que usan IPv6....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • archivos
  • blog
  • borra
  • bsd
  • bug
  • centos
  • china
  • chrome
  • cifrado
  • computer
  • debian
  • dejandolo
  • destructivo
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • inutilizable
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sistema
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • vbs
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra