Nuevo gusano escrito en JavaScript: Gigger

Un nuevo gusano, escrito en JavaScript, está empezando a circular. Se
distribuye mediante Microsoft Outlook y mIRC, con un comportamiento
especialmente agresivo.
El gusano se distribuye mediante un mensaje con el siguiente aspecto:

Tema: «Outlook Express Update»
Texto del mensaje: MSNSofware Co.
Archivo asociado: Mmsn_offline.htm
Este mensaje induce a pensar al receptor acerca de la posible existencia
de una actualización del programa de correo Outlook. Si el usuario abre
el archivo saciado, el gusano entra en acción.

Que hace

En primer lugar crea cuatro archivos en el sistema infectado:

* C:\Bla.hta
* C:\B.htm
* C:\Windows\Samples\Wsh\Charts.js
* C:\Windows\Help\Mmsm_offline.htm
A continuación, añade la siguiente línea al archivo AUTOEXEC.BAT

ECHO y¦format c:

Esta línea puede llegar a provocar, si el sistema operativo está en
lengua inglesa, que al reiniciar la máquina se proceda a formatear la
unidad de disco duro C:.

Para intentar su propagación mediante mIRC, crea un archivo SCRIPT.INI
que contiene el código del gusano. Este código es autoenviado a cada
usuario que se conecta al mismo canal donde esté conectado el usuario
infectado con el virus.

También añade en el registro del sistema las siguientes entradas:

* HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout
* HKEY_CURRENT_USER\Software\TheGrave\badUsers\v2.0
También añade a la entrada

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

el valor

NAV DefAlert %Windows%\SAMPLES\WSH\Chart.vbs.

(si la entrada NAV DefAlert ya existe, por tener instalado el equipo el
Norton Antivirus, modifica su valor por el que se indica en este
boletín).

Realizadas estas modificaciones, determina todas las unidades de disco
(locales o de red) del sistema y se copia él mismo en cada unidad como

\Windows\Start Menu\Programs\StartUp\Msoe.hta

También localiza todos los archivos del tipo .HTM, .HTML y .ASP y añade
el código del virus dentro de los mismos

Por ultimo, empieza a borrar todos los archivos existentes en la unidad
de disco local.

Xavier Caballé
xavi@hispasec.com

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Nuevo gusano escrito en JavaScript: Gigger

Publicaciones relacionadas

Una al Día

Aviso Legal

Compártelo:

Publicaciones relacionadas

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Footer

Una al Día

Aviso Legal