Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / General / Gusano Mawanella, más de lo mismo

Gusano Mawanella, más de lo mismo

Por Leave a Comment

Otro gusano escrito en Visual Basic Script infecta miles de
ordenadores en pocas horas. En esta ocasión se presenta en un mensaje
con el asunto «Mawanella» y el fichero adjunto «Mawanella.vbs».
Apenas una semana después de la aparición en escena de «Homepage», nos
encontramos con un espécimen cortado por el mismo patrón, hasta el
punto de estar diseñado con el mismo kit de creación. Por ejemplo, si
el sistema de cifrado de «Homepage» consistía en sumar 2 al código
ASCII de los caracteres, «Mawanella» suma 5.

Resulta extremadamente sencillo reconocer la llegada del gusano, que
viaja en un mensaje con las siguientes características:

Asunto: Mawanella
Cuerpo: Mawanella is one of the Sri Lanka’s Muslim Village
Adjunto: Mawanella.vbs

Si se ejecuta el fichero infectado, el gusano crea una copia de sí
mismo en la carpeta de sistema de Windows y activa la ya típica
rutina de propagación, que no es otra que autoenviarse a todas las
direcciones de la libreta de contactos de Outlook. Además el gusano
muestra una ventana con el título «VBScript: Mawanella», donde se
representa con caracteres una casa ardiendo, bajo la cual se puede
leer el siguiente texto:

Mawanella is one of the Sri Lanka’s Muslim Village. This brutal
incident happened here 2 Muslim Mosques,100 Shops are burnt. I
hate this incident, What about you? I can destroy your computer.
I didn’t do that because I am a peace-loving citizen.

El colmo del gusano es que si detecta que el sistema no tiene
instalado Microsoft Outlook, y por tanto no puede llevar a cabo su
rutina de propagación, pide directamente al usuario que reenvíe el
mensaje a través del texto:

Please Forward this to everyone

Lo más sorprendente de «Mawanella» es la propagación que ha
conseguido. Parece que son muchos los usuarios que siguen sin poder
reprimir la tentación de abrir todo aquello que les llega a través
del correo electrónico.

Bernardo Quintero
bernardo@hispasec.com

Más información:

Gusano Homepage, ¿vuelven a fallar los antivirus?
http://www.hispasec.com/unaaldia.asp?id=927

AVP
http://www.avp.ru/news.asp?tnews=0&nview=1&id=188&page=0

CAi
http://www3.ca.com/Press/PressRelease.asp?id=1586

F-Secure
http://www3.ca.com/Press/PressRelease.asp?id=1586

NAi
http://vil.nai.com/vil/virusSummary.asp?virus_k=99090

Norman
http://www.norman.com/virus_info/vbs_vbswg_z.shtml

Sophos
http://www.sophos.com/virusinfo/analyses/vbswgz.html

Symantec
http://www.sarc.com/avcenter/venc/data/vbs.vbswg2.z@mm.html

Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_VBSWG.Z

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.