Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Haras.A. Destructivo gusano en archivo SARAH.SCR
 
VSantivirus No. 768 - Año 6 - Jueves 15 de agosto de 2002

W32/Haras.A. Destructivo gusano en archivo SARAH.SCR
http://www.vsantivirus.com/haras-a.htm

Nombre: W32/Haras.A
Tipo: Gusano de Internet
Alias: WORM_HARAS.A, I-Worm.Generic, W32.Mylife.M@mm, W32.Mylife@mm
Fecha: 14/ago/02
Plataforma: Windows 32-bits
Tamaño: 19,456 bytes (UPX), 32,768 bytes

Este gusano ha sido compilado en Visual Basic 6.0 y comprimido con la utilidad UPX.

Se propaga a través de un mensaje en el adjunto SARAH.SCR, siempre que en la máquina infectada esté instalado el MSN Messenger, ya que toma de allí su lista de destinatarios para enviarse (la extensión .SCR no se muestra en una configuración por defecto de Windows).

El mensaje se presenta de esta forma:

De: WinME
Asunto: SARAH SCREEN SAVER

Texto:
hi
how are u?
look at sarah screen saver (;-) its very good

bye

Datos adjuntos: Sarah.scr

Si en la PC infectada no está instalado el MSN Messenger, el gusano solo envía un mensaje a la dirección Sarah700@email.com.

Cuando el usuario hace doble clic sobre el supuesto protector de pantalla (SCR), se muestra el siguiente mensaje de error para engañar al usuario, ya que el virus se ha activado sin su conocimiento:

Error Not Found

El gusano se copia a si mismo en la siguiente ubicación:

C:\Windows\System\SARAH.SCR

También crea o modifica las siguientes entradas en el registro a los efectos de autoejecutarse en cada próximo reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
sarah = C:\Windows\System\Sarah.scr

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
sarah = C:\Windows\System\Sarah.scr

Luego del primer reinicio, el gusano muestra una ventana con el siguiente mensaje:

Sarah Virus

Luego, abre otra ventana de mensajes con el siguiente texto:

KilL The McAfee
I KilL april goustry
[    Aceptar   ]

Si se pulsa en el botón [ Aceptar ], el gusano procede a borrar todos los archivos en el primer nivel de carpetas del directorio raíz de la unidad C, y otros archivos de las carpetas Windows y Archivos de programa (Program Files).

El gusano modifica los siguientes archivos borrando su contenido, y reemplazándolo por la cadena 'Sarah'. El tamaño final de estos archivos pierde 7 bytes:

C:\COMMAND.COM
C:\MSDOS.SYS
C:\CONFIG.SYS
C:\AUTOEXEC.BAT
C:\IO.SYS
C:\CONFIG.JPS
C:\CONFIG.BAK
C:\AUTOEXEC.BAK
C:\SCANDISK.LOG
C:\MSDOS.nam
C:\MSDOS.til
C:\COMPATID.TXT

Si se ejecuta estas rutinas destructivas, será imposible reiniciar Windows, bloqueándose el sistema con el mensaje 'Invalid System Disk Error'.


Limpieza manual

Debido a su poder destructivo, una vez ejecutado se deberá reinstalar Windows y todos sus programas.


Modificaciones:
24/ago/02 - Alias: W32.Mylife.M@mm, W32.Mylife@mm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS