Mcon.G

MCON.G destructivo gusano de redes canales IRC Peer to Peer servicios FTP y HTTP borra carpetas, etc.

VBS/Mcon.G, VBS/Pica.Gen

Mcon.G es un destructivo gusano reportado el 10 de Enero del 2005, que se propaga a través de redes con recursos compartidos y canales IRC (Internet Chat Relay) e infecta los sistemas con un archivo de nombre ttfload.vbs propagándose en redes usando IPs generadas en forma aleatoria y que han sido configuradas con contraseñas débiles.

Se copia a todas las carpetas que tengan como nombre la cadena "startup".

Ha sido desarrollado con el VBSWG (Visual Basic Script Worm Generator), creado por [K]alamar.

Se difunde además en redes Peer to Peer, servicios FTP y HTTP, usando las carpetas de descarga de todas las unidades de disco, que tengan determinadas cadenas de texto en sus nombres.

A través de los canales IRC (Internet Chat Relay) puede ejecutar una diversidad de actividades nocivas y hasta destructivas. Borra las carpetas y su contenido que tengan ciertas cadenas de texto en sus nombres.

Es un Visual Basic Script e infecta Windows 95/98/NT/Me/2000/XP/Server 2003, incluyendo los servidores NT/2000/Server 2003

Una vez ingresado el gusano se auto-copia a las carpetas que tienen la cadena "startup" con un archivo de nombre ttfload.vbs y a la carpeta \fonts de %Windir%.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%Startup% es una variable que corresponde a C:\Windows\Menú Inicio\Programas\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menú Inicio\Programas\Inicio en Windows NT\2000\XP.

para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runttfload]
"wscript.exe" = %Windir%\Fonts\ttfload.vbs"

[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
"Timeout" = "0"

Al siguiente inicio el gusano muestra la siguiente falsa caja de diálogo:

activa sus rutinas de propagación e inmediatamente se auto-elimina.

El código viral del archivo sndload.vbs es sobre-escrito en el Script.ini del software mIRC, si éste se encuentra instalado y se propaga en todas las unidades de red y tratando de ingresar a direcciones IP generadas en forma aleatoria, configuradas con contraseñas débiles.

Para propagarse a través de las redes Peer to Peer o de otros servicios de Internet como FTP o HTTP, revisa las carpetas de descarga de todas las unidades de disco que tengan las siguientes cadenas de texto:

my
share
download
downloads

El gusano se copia a las mismas, empleando nombres tomados de carpetas de uso reciente de Windows con la extensión .VBS o [número_aleatorio_de_espacios].vbs

Evita usar los siguientes nombres:

mscfg.exe
ashield.pif
netstat.pif
network.vbs
mscfg.vbs
winsock.vbs
a24.vbs
samples.vbs

Borra las carpetas y su contenido que tengan nombres con cadenas "chode", "foreskin" o "dickhair".

El gusano cambia la página de Inicio, configurada por defecto en el navegador Internet Explorer modificando la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start" = "http://www.zonelabs.com/"

PER ANTIVIRUS® versión 9.0 con registro de virus al 10 de Enero del 2005 detecta y elimina eficientemente este gusano.