Coolsite es un gusano desarrollado en Java Script que se propaga a través de mensajes de correo electrónico, sin archivo adjunto alguno, y un texto que invita al usuario a visitar una dirección de Internet con contenido pornográfico.

Coolsite infecta todos los sistemas operativos Microsoft Windows 95/98/NT/2000/Me, incluyendo los servidores NT/2000 y satura servidores Web, de Correo, LAN (Local Area Network), estaciones de trabajo y ordenadores domésticos, con un gran efecto multiplicador.

Si el usuario pincha en el enlace, el gusano aprovecha una vulnerabilidad existente en el Microsoft Virtual Machine que afecta a Microsoft Internet Explorer en sus versiones 4.x y 5.x. Dicha vulnerabilidad permite la ejecución de cualquier código con tan solo visitar una página web o leer un mensaje de correo con formato HTML.

El parche para esta vulnerabilidad se puede descargar en el siguiente enlace de Microsoft:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-075.asp

Contenido pornográfico

Si el usuario pincha en la dirección recomendada en el mensaje, el gusano activa una serie de ventanas de Internet con contenido pornográfico y luego reemplaza la página de inicio de Internet Explorer por una con el mismo contenido, modificando adems la llave de registro:

[HKCUSOFTWAREMicrosotfInternet ExplorerMain]

StartPage = http://[XXXXX].com/~mirc124/sex.htm

Inmediatamente Coolsite, haciendo uso de las funciones de las libreras MAPI (Messaging Application Programming Interface), desde el sistema infectado, se auto-envía a todos las direcciones de correo contenidas en la bandeja de Elementos Enviados de MS Outlook, para luego borrar todos los mensajes incluidos en dicha bandeja, con el propósito de que el usuario no sospeche que involuntariamente está saturando a otros equipos.

Reproducido de Europa Press