VBS.China, gusano destructivo, borra archivos del sistema dejándolo inutilizable


VBS.China@MM, I-worm.China, BAT/Way

Vbs.China, es un gusano reportado el 28 de Junio del 2002, con efectos muy destructivos, que se propaga masivamente a través de mensajes de correo haciendo uso de la la Libreta de Direcciones de Microsoft Outlook y Outlook Express y del IRC (Internet Chat Relay), con al archivo anexado readme.TXT.vbs, que tiene una extensión de 10.3 KB.






Ha sido desarrollado con el VBSWG (Visual Basic Script Worm Generator), creado por [K]alamar.

Este gusano es un PE (Portable Ejecutable) que infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.



Al ejecutar el archivo infectado, el gusano realiza la siguiente serie de acciones:

Se auto-copia al directorio raíz C: eame.txt.vbs
También se auto-copia con el nombre de chinaboy.jpg.bat que crea una carpeta con el mensaje C:I_LOVE_CHINA_BLACK_AT_PACIFIC_PLAZA
Se auto-copia a la carpeta de Windows con los siguientes nombres: china_babes.bat, china_boys.bat y china_girls.bat.
Crea el archivo china.reg en los directorios que el AUTOEXEC.BAT indique en su ruta o path, el mismo que modifica la llave del registro de Windows. Luego sobre-escribe todos los archivos con extensión .reg en las carpetas donde los ubique.
Crea el archivo china_hunks.vbs en los directorios que el AUTOEXEC.BAT indique en su ruta o path, el mismo que modifica la llave del registro de Windows. Luego sobre-escribe todos los archivos con extensión .vbs en las carpetas donde los ubique.
Se auto-copia al directorio raíz como china_ladies.bat y sobre-escribe todos los archivos con extensión .BAT en las carpetas donde los ubique, incluido el AUTOEXEC.BAT.
Se auto-copia al directorio raíz como pif.pif para poder ejecutarse cuando se abra una ventana MS-DOS.
Se auto-copia al directorio raíz como vbs.lnk creando de esta manera un acceso directo a cualquiera de los archivos infectados por el gusano y sobre-escribe todos los archivos con extensión .LNK en las carpetas donde los ubique.
Si el software de chat mIRC está instalado, se auto-copia al archivo script.ini, para propagarse a través del canal de chat, infectado a todos los usuarios conectados a una misma sesión.
Para activarse la próxima vez que se inicie Windows, china.reg modifica la llave de registro:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
Chinablackblackblack = "c:windowschina_girls.bat"


Vbs.China tiene los siguientes payloads destructivos:

Borra archivos de los programas antivirus y elimina el contenido del WIN.INI y el SYSTEM.INI, con lo cual deja inutilizable al Sistema Operativo.



Otras noticias de interés:

Mejoras de privacidad y seguridad en apps de Facebook
La mayoría de las veces, cuando alguien me pregunta que es lo peor de las redes sociales, le digo que el único problema que le encuentro, y tiene solución, es el de la privacidad y la seguridad de los datos. Y eso no significa que diga que por ell...
Microsoft quiere eliminar Windows.
Por supuesto no su programa, sino el término Windows de algunos programas que lo incluyen en su nombre, por lo que está enviando misivas a algunos desarrolladores de software....
Nace la Intypedia, la enciclopedia de la seguridad
Gracias por la información oportuna del sitio bitelia.com nos hemos enterado del nacimiento de La Enciclopedia de la Seguridad de la Información. ...
Cuidado con lo que publicas: Sitios porno parásito se nutren de imágenes y videos tuyos
La Internet Watch Foundation es una organización que lucha contra la pornografía infantil que se distribuye en Internet y esta alertando sobre la existencia de sitios parásito que captan las imágenes y videos de contenido sexualmente explícito q...
¿Sabes que es el Tempest?
Nuestro amigo BlackCat nos informa: Tempest (Telecommunication Electronics Material Protected from Emanating Surious Transmissions). Todas las veces que nos sentamos delante de nuestro ordenador y tenemos un celular al lado y nos esta llegando...
Fuera Windows XP Bienvenido Linux XP!!!
Una empresa rusa decidió agarrar Linux y maquillarlo para que se viera igual-igual a Windows. Para que puedas instalarlo en tu casa y que tu mamá ni se dé cuenta del cambio. Esto es Linux XP. ...
Detectan un ataque XSS en WordPress
Se ha encontrado una vulnerabilidad crítica en la biblioteca HTML de la versión 3.04 del gestor de contenidos. Un agujero de seguridad XSS (Cross-site scripting) habría sido identificado en la herramienta de gestión de contenidos WordPress y sup...
El caso del malware que se propaga por Skype
El día 18 de diciembre Websense publicaba en su blog lo que podría ser motivo de una noticia de alcance: se había detectado un nuevo gusano que se propagaba a través del popular programa Skype. Si bien llamó la atención de muchos, el troyan...
Spam de troyanos
Detectada una nueva ola de envíos masivos de e-mails para distribuir troyanos. En esta ocasión intentan engañar al usuario simulando ser un mensaje de su propio servidor de correo que no ha podido ser entregado y viene devuelto....
Agresiva generación de rootkits
A partir de la celebración de la conferencia BlackHat 2009, se dio a conocer otra alternativa para atacar los sistemas informáticos a través de códigos maliciosos del tipo rootkit. Se trata de lo que se conoce bajo el término de Bootkit....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • archivos
  • blog
  • borra
  • bsd
  • bug
  • centos
  • china
  • chrome
  • cifrado
  • computer
  • debian
  • dejandolo
  • destructivo
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • inutilizable
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sistema
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • vbs
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra