Vbs.Donghe@mm, W32/Donghe.A@MM, W32/Hedong.A@MM, I.worm.Donghe.A@mm

Donghe es un gusano reportado el 19 de Mayo del 2002, de gran difusión masiva en Internet ya que emplea su propia motor SMTP (Simple Mail Transfer Protocol) a través del Puerto 25, lo cual incrementa su capacidad de saturación en servidores Web, de Correo, LAN, estaciones de trabajo, PC individuales y domésticas.

Se propaga a través de mensajes de correo electrónico, con uno de dos archivos anexados de nombres Hello.exe o Hello.vbs, elegidos de acuerdo a la hora del sistema, los mismos que tienen una extensión de 48 KB. El nombre del remitente es tomado en forma aleatoria, así como el Asunto, puede o no, mostrar la frase "just for my father !", dependiendo de la configuración del software de correo. 

No muestra ningún mensaje dentro de su contenido:

El gusano es un Visual Basic Script, PE (Portable Ejecutable) e infecta todos los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

El código del virus llega dentro del mensaje y se aprovecha de una vulnerabilidad del protocolo MIME (Multipurpose Internet Mail Extensions). Por ejemplo, en caso que MS Outlook esté configurado con la opción de "Mostar panel de vista previa" activada, será suficiente visualizar el mensaje, sin necesidad de ejecutar el archivo anexado, para infectar el sistema:

Para evitar este tipo de infecciones se debe deshabilitar la opción "Mostar panel de vista previa":

Esta vulnerabilidad fue corregida con el Internet Explorer 6.0 y con fecha 15 de Mayo del 2002 Microsoft liberó un parche que soluciona definitivamente estos denominados "huecos" (holes), el mismo que puede ser descargado desde:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

Sin embargo, si el archivo infectado es ejecutado, el gusano intentará conectarse a cualquiera de estos servidores:

• smtp.citiz.net
• smtp.china.com
• smtp.sina.com
• smtp.263.net
• smtp.sohu.com
• smtp.163.net
• smtp.163.com

• Si la hora del sistema es divisible entre 3, el gusano auto-envía el mensaje con el archivo Hello.exe. Por ejemplo: las 03:00 AM, 06:00 AM, 09:00 AM, etc., son divisibles entre 3.  
• Si la hora del sistema no es divisible entre 3, auto-envía el mensaje con el archivo Hello.vbs.

Además Donghe genera todas las demás características del mensaje en forma aleatoria:

• La dirección "Desde" puede contener caracteres generados en forma aleatoria, seguidos por el símbolo "@" y la cadena que sigue a "smtp." perteneciente al servidor SMTP seleccionado y utilizado para su auto-envío. Por ejemplo si eligió utilizar "smtp.163.net", la dirección "Desde" será un conjunto de caracteres aleatorios seguidos por "@163.net".
• La dirección "A:" es compuesta de la misma forma, pero en forma oculta, mostrando un nombre extraído de la Libreta de Direcciones de Windows.
• El Asunto es elegido en forma aleatoria, desde otro asunto con texto escrito en Idioma Chino, contenido en el cuerpo viral del gusano. A veces se puede leer "just for my father !".
• El Contenido no es visualizable, aparentemente en blanco, pero en su código viral se puede leer también "just for my father !".  

Luego el gusano se auto-copia en la carpeta: C:\%SystemDir%\Explorer.exe y configura el siguiente valor de registro para asegurarse de ser activado cada vez que un archivo .EXE es ejecutado:

[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
"Default" = "%System%\Explorer.exe %1 %*"

Si el archivo anexado al correo fue Hello.vbs, se auto-copia además con los nombres:

C:\%System%\MSKernel.vbs
C:\%Windir%\Win32Dll.vbs

y con el objeto de ejecutarse la próxima vez que reinicie Windows crea los siguientes valores de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MSKernel32" = "C:\%System%\MSKernel32.vbs

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Win32Dll" = "C:\%WinDir%\Win32Dll.vbs

Luego cambiará la página de inicio de Internet Explorer a un sitio web Chino, perteneciente a "Hangzhou Institute of Electronics Engineering".

Finalmente, Hello.vbs o Hello.exe ejecutarán su payload destructivo que consiste en borrar totalmente todos los archivos que tengan extensión: .exe, .dll, .dat, .doc y .mp3, en las unidades locales, de red y PC individuales, dejando inutilizables los sistemas.