Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / General / I-Worm.BadAss

I-Worm.BadAss

Por Deja un comentario

“BadAss” es un nuevo gusano que está propagándose vía
Internet usando MS Outlook. El gusano es un ejecutable
Windows EXE con un tamaño de 25Kb escrito en VisualBasic.
Parece basado en el virus de macro Melissa, las funciones
y secuencia de instrucciones del código del gusano son muy
similares a las de este este conocido virus/gusano. Parece
como si “BadAss” se hubiera compilado partiendo del código
de Melissa realizando algunas leves modificaciones.
El gusano se transmite por la red en archivos infectados
adjuntos a mensajes de correo electrónico. El archivo anexo
original lleva el nombre BADASS.EXE, pero es posible
renombrar manualmente el archivo EXE y continuar la
propagación con el nuevo nombre.

Cuando se recibe un mensaje infectado y se ejecuta el
archivo anexo, el gusano toma el control e inicia su rutina
principal mostrando ventanas de mensajes. A continuación,
ejecuta la rutina de infección abriendo la base de datos de
Outlook, obtiene la libreta de direcciones de correo y envía
mensajes infectados a los miembros de la lista. El asunto del
mensaje infectado contiene la cadena: “Moguh..” y el texto
“Dit is wel grappig! :-)” como cuerpo.

El gusano no envía dos veces mensajes desde el mismo ordenador.
Para evitar la duplicidad crea una clave en el registro del
sistema y la comprueba cada vez que arranca.

HKCU\SoftWare\VB and VBA Program Seettings\Windows\CurrentVersion
“CMCTL32″=”00 00 00 01”

La primera ventana de mensajes mostrada por el gusano contiene
el siguiente texto:

Kernel32
An error has occured probably because your cunt
smells bad. Is this really so?
[ Yes ] [ No ]

Al mover el cursor con el ratón hacia el botón [No] el gusano lo
mueve hacia [Yes] y continua haciéndolo hasta que se pulsa [Yes]:

[ Yes ] [ No ]
[ No ] [ Yes ]
[ Yes ] [ No ]

Así, el gusano no permite que se pulse el botón [No] (ver
también el programa-broma “Win.Stupid”). Cuando se pulsa el botón
[Yes] el gusano muestra otro mensaje y ejecuta la rutina de
infección:

WIN32
Contact your local supermarket for toiletpaper and soap to
solve this problem.
[ OK ]

Más información:

I-Worm.BadAss en AVPVE

Kaspersky Labs

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.