|
Happy Halloween
, fue reportado el 31 de Octubre del 2001 y al igual que el Antrax ha sido generado con el Kit de Construcción de Gusanos en Visual Basic Scripts, denominado VBSWG (Visual Basic Script Worm Generator), el mismo que se distribuye gratuitamente en diversos sitios web de desarrolladores de virus.Infecta todos los sistemas operativos Microsoft Windows 98/NT/2000/Me/XP, incluyendo los servidores NT/2000.
El gusano se propaga masivamente a través de mensajes de correo electrónico vía Internet, con un archivo anexado denominado Winupdate.vbs, de una extensión de 6,951 bytes, haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface). Una vez que un sistema es infectado, Happy Halloween se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo:
Adicionalmente, se envía a través de los canales de chat que usan los software mIRC y Pirch
Al ejecutarse el archivo infectado, el gusano se auto-copia a la carpeta C:\Windows, con el nombre Winupdate.vbs y con el propósito de ejecutarse cada vez que se inicie el sistema crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"wsock32"="wscript.exe
c:\windows\winupdate.vbs"
Para determinar si ya intentó enviarse por correo electrónico o si ya modificó el mIRC para intentar propagarse vía IRC (Internet Relay Chat) el gusano verifica la existencia de las siguientes entradas en el registro de Windows, las cuales emplea :
[HKCU\software\Happy Halloween\mailed]
[HKCU\software\Happy Halloween\mirqued]
[HKCU\software\Happy Halloween\pirched]
Si el valor de estas claves es igual a uno, significa que ya ejecutó estas acciones. En caso contrario empezará a auto-enviarse.
El mensaje siempre es el mismo así como el archivo anexado. Una vez enviado, el gusano elimina el mensaje de la carpeta de
Elementos Enviados de MS Outlook. Si esta aplicación no se encuentra instalada y configurada en el sistema, el virus no podrá re-enviarse por correo electrónico.A continuación, busca la existencia de la aplicación
mIRC en el sistema infectado y si ésta es hallada crea un archivo script.ini para intentar propagarse a través del IRC, utilizando esta herramienta de chat. De este modo, cuando el usuario se encuentre participando en alguna sesión de chat, utilizando el mIRC, el sistema del usuario infectado enviará una copia del gusano a cada persona que se conecte o esté participando en esa sesión.El gusano además sobre escribe su código en todos los archivos con extensión
.vbs y .vbe del sistema, el mismo que contiene el siguiente comentario al comienzo de su código: Vbs.Happy Halloween Created By YunkelTeaMPER ANTIVIRUS® versión 7.1 con registro de virus al 31 de Octubre del 2001 detecta y elimina eficientemente este gusano.
