CORICA, de propagación masiva vía correo, cambia configuración de Internet Explorer y wallpaper.  

(c) Jorge Machado  Lima-Perú

VBS/Corica@MM

Corica es un gusano reportado el 24 de Septiembre del 2002, que se propaga masivamente en mensajes de correo, con un archivo anexado de apenas 4.2 KB con el nombre de Microsoft.vbs, en uno de dos formatos similares con contenido en español o inglés.

Este VBS infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000. 

Al ser ejecutado, el gusano se autocopia a C:\%windows%\microsoft.vbs y para ejecutarse la próxima vez que se inicie el sistema agrega el siguiente valor al registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Default = "C:\%windows%\microsoft.vbs"

%windows% es una variable que corresponde a C:\Windows en Windows 9x/ME y a C:\Winnt en Windows NT\2000\XP. 

Cuando este Visual Basic Script es ejecutado crea un archivo de nombre MICROSOFT.LNK el cual es un vínculo directo al MICROSOFT.VBS, ubicado en la carpeta de Windows, el cual crea el archivo MICROSOFT.TXT, con el siguiente contenido:
. . . . . . _ . . . . . _ . . _ . . . . . . _ . _ . . . _ . . . _ . . . . . . . _ . . . . . _ . . _ . . . . . . _ . _ . . . _ . . . _ . 

También realiza las siguientes acciones: 

Modificando la siguiente llave, altera la página de Inicio del Internet Explorer hacia este enlace:

http://www.latinguia.com  

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = "http://www.latinguia.com" 

Con lo cual pretende saturar ese portal. Asimismo crea la llave de registro: 

[HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command]
Default = %Windows%\Notepad.exe %"Windows%"\Microsoft.txt 

El contenido de Microsoft.txt antes detallado, se mostrará en pantalla cada vez que se intente editar un archivo con extensión .vbs.

Modifica la configuración del papel tapiz del escritorio de Windows con la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General]
Wallpaper = %Windows%\Application Data\Microsoft\Internet Explorer\Wallpapr.htt

La frase "Viva Costa Rica" se mostrará en el wallpaper (papel tapiz) del escritorio de Windows. 

A causa de su mensaje en español, Corica está siendo reportado en varios países de habla hispana.
PER ANTIVIRUS® versión 7.6 y 7.7 actualizado al 24 de Septiembre del 2002, detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS