Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Babypic@mm (Myba). El LoveLetter se transforma
 
VSantivirus No. 235 - Año 5 - Miércoles 28 de febrero de 2001

Nombre: W32/Babypic@mm
Tipo: Gusano de Internet
Fecha: 27/feb/01
Origen: Asia
Tamaño: 77,824 bytes
Alias: I-Worm.Myba, MYBABYPIC.EXE

Se trata de un gusano de Internet escrito en Visual Basic. Simula ser una broma, pero se mantiene en memoria como un proceso luego de que el programa es cerrado, e intentará propagarse a otros usuarios a través del Outlook, enviándose a todos los contactos de la libreta de direcciones. Este proceso no comienza enseguida, sino luego de unos minutos.

El código es muy similar al del "LoveLetter" (ILOVEYOU), y parece ser una adaptación de éste (escrito originalmente en Visual Basic Script), a Visual Basic.

El virus llega en un mensaje con las siguientes características:

Asunto: My baby pic!!!
Texto: Its my animated baby picture !!
Archivo adjunto: mybabypic.exe (78 Kb)

Si el usuario ejecuta el adjunto (doble clic sobre él), el gusano envía copias de si mismo por e-mail, se copia en el sistema infectado, y realiza algunas acciones destructivas.

Una vez activo, el virus accede al Outlook y a su libreta de direcciones, toma todas las direcciones allí existentes, y les envía a cada una de ellas mensajes infectados, similares al recibido originalmente.

Para instalarse en el sistema, el gusano crea copias de si mismo en estas ubicaciones:

C:\WINDOWS\SYSTEM\WINKERNEL32.EXE
C:\WINDOWS\SYSTEM\MYBABYPIC.EXE
C:\WINDOWS\SYSTEM\WIN32DLL.EXE
C:\WINDOWS\SYSTEM\CMD.EXE
C:\WINDOWS\SYSTEM\COMMAND.EXE

Luego modifica el registro de Windows, para ejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
mybabypic = C:\WINDOWS\SYSTEM\MYBABYPIC.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
WINKernel32 = C:\WINDOWS\SYSTEM\WINKERNEL32.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
@ = C:\WINDOWS\SYSTEM\WIN32DLL.EXE

También crea esta clave en el registro:

HKCU\Software\Bugger
Default = HACK[2K]
mailed = 1

El valor de "mailed" puede ser un número de 0 a 3, y depende del proceso que el gusano está ejecutando en el momento: instalándose, propagándose o activando su rutina destructiva.

Esta rutina es bastante extensa, y depende de la fecha y hora del sistema:

- Cambia el estado (On/Off) de las teclas NumLock (BloqNum), CapsLock (BloqMayús) y ScrollLock (BloqDespl).

- Envía al búfer del teclado este mensaje:

.IM_BESIDES_YOU_

- Se conecta a la dirección http://www.youvebeenhack.com, y envía uno de los siguientes textos:

FROM BUGGER
HAPPY VALENTINES DAY FROM BUGGER
HAPPY HALLOWEEN FROM BUGGER

El gusano también corrompe y afecta otros archivos, en todos las carpetas y sub carpetas de todos las unidades de disco:

- Archivos VBS, VBE: destruye su contenido.

- Archivos JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H: crea un nuevo archivo con el nombre original, pero con la extensión .EXE y se copia allí. Luego borra los archivos originales. Por ejemplo, un archivo llamado "TEST.CPP" quedará como "TEST.EXE", con el código del virus.

- Archivos JPG, JPEG: hace lo mismo que el punto anterior, pero le agrega una segunda extensión (.EXE) al archivo original. Por ejemplo, "PIC1.JPG" quedará como "PIC1.JPG.EXE".

- Archivos: MP2, MP3, M3U: el gusano crea un nuevo archivo con la extensión ".EXE" (para el archivo "SONG.MP2" el gusano creará un archivo llamado "SONG.MP2.EXE"), escribirá su código allí, y pondrá los atributos del archivo original como ocultos (+H).

Fuente: Kaspersky, Network Associates

 

Copyright 1996-2001 Video Soft BBS