Bat_Bong@mm, VBS/Bong, IRC/Bong

Bong es un gusano destructivo, reportado el 25 de Noviembre del 2002, de propagación masiva a través de mensajes de correo y Chat, con un archivo .BAT anexado de nombre bong.bat, que tiene una extensión de 3.5 KB, el mismo que libera un Visual Basic Script y componentes del IRC (Internet Chat Relay) para auto-enviarse a todos los buzones de la Libreta de Direcciones de MS Outlook y a los usuarios del mIRC y Pirch. 

Al ejecutar el archivo infectado, éste sobre escribe el AUTOEXEC.BAT para ser activado la próxima vez que se inicie el sistema. No modifica ninguna llave de registro.

Inicialmente comprueba la existencia de los siguientes archivos en las correspondientes carpetas: 

C:\mirc\mirc.ini 
C:\mirc32\mirc.ini 
C:\progra~1\mirc\mirc.ini 
C:\progra~1\mirc32\mirc.ini 

De encontrar cualquiera de ellos, el gusano genera un falso SCRIPT.INI en la misma carpeta, el cual infectará a todos los usuarios del software mIRC que se conecten a una misma sesión de Chat.

Este falso script además configura al mIRC de tal modo que si un usuario remoto digita los comandos Chat "sex", "hack" o "game" muestra en la consola del mIRC uno de los siguientes tres textos:

Del mismo modo crea otro falso script denominado EVENTS.INI en la carpeta C:\pirch98 el cual modifica y configura al software Pirch para auto-enviar copias del archivo GONG.BAT e infectar a todos los usuarios que se conecten a una misma sesión de Chat. 

Inmediatamente después de las anteriores acciones, genera y auto-ejecuta el archivo Bong.vbs el mismo que manipula las librerías MAPI para auto-enviarse masivamente en mensajes de correo.

Sus payloads destructivos consisten en modificar el AUTOEXEC.BAT, los Scripts de los software de Chat e infectar a los usuarios del IRC (Internet Chat Relay) y saturar servidores de correo.

PER ANTIVIRUS® versiones 7.7 y 7.8 con registro de virus al 25 de Noviembre del 2002 detectan y eliminan eficientemente este gusano.