Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: I-Worm.DragonBall. Intenta propagarse vía e-mail y falla
 
VSantivirus No. 210 - Año 5 - Sábado 3 de febrero de 2001

Nombre: I-Worm.DragonBall
Tipo: Gusano de Internet

Este gusano se propaga a través de un mensaje de e-mail, usando el Outlook, y de los canales de chat del IRC. Está escrito en VBS (Visual Basic Script). No trabaja correctamente, debido a algunos errores graves en su código. Sin embargo, debido a su asunto, que lo hace popular, es conveniente tenerlo en cuenta ante futuras modificaciones que si funcionen correctamente.

Cuando el script se ejecuta, el gusano se copia a si mismo en estas ubicaciones del sistema:

C:\Windows\Winsock.vbs
C:\Windows\Sysdir.vbs
C:\Windows\System\millioner.vbs
C:\Windows\System\DragonBall.vbs
C:\Windows\System\DragonBall.cab

También crea tres scripts en el directorio del mIRC:

C:\mIRC\mirc.ini
C:\mIRC\script.ini
C:\mIRC\update.ini

Estos scripts son necesarios para propagarse a través de los canales de chat. Como los directorios "C:\Windows" y "C:\mIRC" están registrados literalmente en el código, el gusano no funcionará si Windows o el mIRC están en diferentes directorios.

También modifica el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winsock2.0 = C:\\Windows\\winsock.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
sysup = C:\\Windows\\sysdir.vbs

Y cambia el valor de dos etiquetas del archivo WIN.INI:

[windows]
load=C:\Windows\System\DragonBall.vbs
run=C:\Windows\System\millioner.vbs

Con esto, el virus se ejecutará siempre que Windows es reiniciado.

El gusano también modifica estas claves del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion
RegisteredOwner = Dragon Ball Z by YuP

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg

Con esto, cambia el nombre del usuario registrado de Windows, y modifica la página de inicio del Internet Explorer.

La rutina de propagación del gusano, abre la libreta de direcciones del Outlook, y crea un mensaje como el siguiente para cada dirección allí encontrada:

Asunto: Hello ;]
Texto:
 Hi , check out this game that j sent you (funny game from the net:]).

Adjunto: dragonball.vbs

Su código contiene graves errores, y este procedimiento no funciona correctamente, no logrando su propagación vía e-mail.

Finalmente, el gusano muestra la siguiente ventana de diálogo:

Dragon Ball Z by YuP
Thank you,and bye bye DragonWorld!!!
[   OK   ]

Cuando el usuario cierra esta ventana, el gusano toma el control del teclado y el ratón, ejecuta el Windows MediaPlayer con un archivo de Internet:

http://bdball.metropoli2000.net/mmedia/videos/clips/dballz/gokuhss1.mpg

También modifica el archivo AUTOEXEC.BAT, insertando las siguientes líneas:

@ECHO ON
ECHO DraGon Ball [Z] by YuP
ECHO Thank you and bye bye dragon world!!

Fuente: Kaspersky

 

Copyright 1996-2001 Video Soft BBS