VBS.China, gusano destructivo, deshabilita antivirus y borra archivos del sistema.  

© Jorge Machado  Lima-Perú

VBS.China@MM, I-worm.China, BAT/Way

China, es un gusano reportado el 28 de Junio del 2002 con efectos destructivos, que se propaga masivamente a través de mensajes de correo haciendo uso de la la Libreta de Direcciones de Microsoft Outlook y Outlook Express y del IRC (Internet Chat Relay), con al archivo anexado readme.TXT.vbs, que tiene una extensión de 10.3 KB. 

Ha sido desarrollado con el VBSWG (Visual Basic Script Worm Generator), creado por [K]alamar.

Este gusano es un PE (Portable Ejecutable) que infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

 

Al ejecutar el archivo infectado, el gusano realiza la siguiente serie de acciones:

  1. Se auto-copia al directorio raíz C:\reame.txt.vbs 
  2. También se auto-copia con el nombre de chinaboy.jpg.bat que crea una carpeta con el mensaje C:\I_LOVE_CHINA_BLACK_AT_PACIFIC_PLAZA 
  3. Se auto-copia a la carpeta de Windows con los siguientes nombres: china_babes.bat, china_boys.bat y china_girls.bat.
  4. Crea el archivo china.reg en los directorios que el AUTOEXEC.BAT indique en su ruta o path, el mismo que modifica la llave del registro de Windows. Luego sobre-escribe todos los archivos con extensión .reg en las carpetas donde los ubique.
  5. Crea el archivo china_hunks.vbs en los directorios que el AUTOEXEC.BAT indique en su ruta o path, el mismo que modifica la llave del registro de Windows. Luego sobre-escribe todos los archivos con extensión .vbs en las carpetas donde los ubique.
  6. Se auto-copia al directorio raíz como china_ladies.bat y sobre-escribe todos los archivos con extensión .BAT en las carpetas donde los ubique, incluido el AUTOEXEC.BAT.
  7. Se auto-copia al directorio raíz como pif.pif para poder ejecutarse cuando se abra una ventana MS-DOS.
  8. Se auto-copia al directorio raíz como vbs.lnk creando de esta manera un acceso directo a cualquiera de los archivos infectados por el gusano y sobre-escribe todos los archivos con extensión .LNK en las carpetas donde los ubique.
  9. Si el software de chat mIRC está instalado, se auto-copia al archivo script.ini, para propagarse a través del canal de chat, infectado a todos los usuarios conectados a una misma sesión.

Para activarse la próxima vez que se inicie Windows, china.reg modifica la llave de registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Chinablackblackblack = "c:\windows\china_girls.bat"

 

Vbs.China tiene los siguientes payloads destructivos: 

Borra archivos de los programas antivirus y elimina el contenido del WIN.INI y el SYSTEM.INI, con lo cual deja inutilizable al Sistema Operativo.

PER ANTIVIRUS® versión 7.5 con registro de virus al 28 de Junio del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS