CoolSite

CoolSite, gusano JavaScript se conecta a una sitio web pornográfico, amenaza saturar Internet.

JS/Coolsite, JS/Coolsite.A, JS/Coolsite@mm

Coolsite es un gusano reportado el 19 de Diciembre del 2001, desarrollado en Java Script de gran difusión masiva que se propaga a través de mensajes de correo electrónico, sin archivo anexado alguno, con un texto que invita al usuario a visitar una dirección de Internet con contenido pornográfico.

Coolsite infecta todos los sistemas operativos Microsoft Windows 95/98/NT/2000/Me, incluyendo los servidores NT/2000 y satura servidores Web, de Correo, LAN (Local Area Network), estaciones de trabajo, PC individuales y domésticas, con un gran efecto multiplicador.

Si el usuario receptor hace un clic en el enlace, el gusano aprovecha una vulnerabilidad existente en el Microsoft Virtual Machine que afecta a Microsoft Internet Explorer en sus versiones 4.x y 5.x. Dicha vulnerabilidad permite la ejecución de cualquier código con tan solo visitar una página web o leer un mensaje de correo con formato HTML y cuyo parche se puede descargar del siguiente enlace de Microsoft:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-075.asp

Si el usuario ingresa a este enlace indicado en el texto del mensaje, el gusano activará una serie de ventanas de Internet con contenido pornográfico y luego reemplazará la página de inicio de Internet Explorer por una con el mismo contenido, modificando además la llave de registro:

[HKCU\SOFTWARE\Microsotf\Internet Explorer\Main]

StartPage = http://[XXXXX].com/~mirc124/sex.htm

Inmediatamente Coolsite, haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado, se auto-envía a todos las direcciones de correo contenidas en la bandeja de Elementos Enviados de MS Outlook, para luego borrar todos los mensajes incluidos en dicha bandeja, con el propósito de que el usuario no sospeche que involuntariamente está saturando a otros equipos.