VBS/Renalo@mm, VBS/Lorena@MM 

Renalo es un gusano reportado el 02 de Enero del 2003, de alta propagación masiva en mensajes de correo con un archivo anexado de 19 KB de promedio, con un nombre aleatorio de doble extensión jpg.vbs. También se difunde a través de las redes compartidas P2P Kazaa, BearShare, eDonkey, Morpheus y Grokster, el ICQ y el IRC (Internet Chat Relay). 

El gusano es un Visual Basic Script, que para propagarse requiere que el Windows Script Host se encuentre instalado, infectando a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Por su estilo de programación, asumimos que el autor sea el mismo del gusano Carmina reportado el 29 de Agosto del 2002. 

Los Asuntos y Contenidos del mensaje son aleatorios y relacionados a temas eróticos.  

Asunto, uno de los siguientes:

• Re:
• Exciting Photos
• Photos XXX
• Sensual photos 

Archivo anexado, con un nombre aleatorio de doble extensión jpg.vbs

Contenido, uno de los siguientes:

• hi check these super photos
• check my exciting photos
• look these exciting photos
• Please check my photos in beach
• Sensual photos single for you 

Al ser ejecutado, el gusano muestra la siguiente caja de diálogo:

Al hacer click en "OK" el gusano se auto-copia con el nombre del archivo infectado al directorios %Windir% y a la carpeta %System%, respectivamente, y para ejecutarse la próxima vez que se inicie el sistema modifica el  AUTOEXEC.BAT y genera las siguientes llaves de registro: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
default = %Windir%\nombre_del_archivo.JPEG.vbs 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
System = %System%\nombre_del_archivo.JPEG.vbs 

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

El gusano se copia al archivo del papel tapiz del escritorio instalado en el sistema con el nombre wallpaper.htm y para propagarse vía las redes P2P, crea o modifica las llaves de registro correspondientes. Por ejemplo:

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"DisableSharing" = 0

Una vez ejecutado el sistema infectado, el gusano busca las carpetas de los antivirus más conocidos y borra todo su contenido, dejando a los sistemas totalmente vulnerables a los virus. También se copia a todas las carpetas de los discos como Lorena-te-amo.vbs.

El gusano buscará en las unidades de disco las carpetas compartidas del ICQ y Peer to Peer y de hallarlas se copiará a ellas, con un nombre de archivo elegido al azar, de una relación de más de 70 títulos, la mayoría de ellos con doble extensión, pero que terminan en .vbs: 

\KaZaA\My Shared Folder\ 
\ICQ\shared files\ 
\eDonkey2000\incoming\ 
\bearshare\shared\ 
\Grokster\My Grokster\ 
\Morpheus\My Shared Folder\ 

Para difundirse por el IRC el gusano sobre-escribe el SCRIPT.INI del software mIRC en la carpetas C:\mIRC y C:\Archivos de programa\mIRC e infectará a todos los usuarios que se conecten a una misma sesión de Chat.

Sus payloads son los siguientes:

• El gusano se auto-envía a los buzones de correo de la Libreta de Direcciones de MS Outlook.
• Borra el contenido de las carpetas de los antivirus instalados en el sistema.
• Se propaga a través de la mayoría de redes de archivos compartidos Peer to Peer.
• Del mismo modo lo hace vía el ICQ y Chat.

PER ANTIVIRUS® versión 7.8 con registro de virus al 02 de Enero del 2003, detecta y elimina eficientemente este gusano.