Moon.H

MOON.H, se propaga vía Correo, Chat, accede a portal porno, cambia página de Inicio de Internet Explorer

VBS/Moon.H@MM

Moon.H es un gusano reportado el 25 de Diciembre del 2002, que se propaga masivamente en mensajes de correo, con un archivo anexado de nombre Win584.vbs, el cual al visualizarlo, si el software de correo está configurado con la opción de Vista Previa o al ejecutar el archivo infectado, se conecta a un portal Porno ubicado en Italia y cambia la página de Inicio del Internet Explorer.

También se propaga a través del IRC (Internet Chat Relay)

Este VBS de 9 KB infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Al ser ejecutado, el gusano se autocopia a C:\%windows%\win584.vbs y para ejecutarse la próxima vez que se inicie el sistema agrega el siguiente valor al registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Explorerx = "wscript.exe C:\%Windows%\Win584.vbs"

%Windows% es una variable que corresponde a C:\Windows en Windows 9x/ME y a C:\Winnt en Windows NT\2000\XP.

También genera otra llave de registro para verificar si un sistema ya se encuentra infectado para evitar repetir su proceso:

[HKEY_CURRENT_USER\software\moon\explorer%xyz%]

%xyz% es un valor alfanumérico de 3 caracteres asignados aleatoriamente por el gusano.

El gusano busca en los servidores, estaciones de trabajo o PC individuales si el software mIRC está instalado y si lo encuentra, sobre-escribe el SCRIPT.INI con su código viral en la carpetas C:\mIRC y C:\Archivos de programa\mIRC para infectar a todos los usuarios que compartan una misma sesión de Chat.

Para cambiar la página de Inicio del Internet Explorer modifica la siguiente llave en el registro:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = "http://www.xyz.it/first/gol.htm" (esta dirección es aleatoria)

Este URL es elegido aleatoriamente de una lista de portales pornográficos, contenidas en el código del gusano que por razones obvias no reproduciremos.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
Modifica el SCRIPT.INI del software mIRC e infecta a los usuarios que comparten una misma sesión de Chat, con un efecto multiplicador.
Cambia la página de Inicio del Internet Explorer.

PER ANTIVIRUS® versión 7.8 actualizado al 25 de Diciembre del 2002, detecta y elimina eficientemente este gusano Visual Basic Script.