|
VBS/Stages o VBS/ShellScrap
Este gusano es la última creación del autor de virus conocido como Zulu, creador de otras conocidas especies virales, tales como el BubbleBoy o el VBS/Zulu, y es miembro del grupo de hackers 29A. VBS/Stages, si bien es un Visual Basic Script, es el primer gusano que engaña a los usuarios al mostrarse como un archivo normal de texto (LIFE_STAGES.TXT.SHS), pero con la extensión .SHS y al igual que sus predecesores ha sido difundido a través de mensajes de correo electrónico en Internet.Los archivos con extensión .SHS (Shell Scraps), son ejecutables de WINDOWS RUNDLL32, también conocidos como Scrap Object Files (Archivos Objeto Basura).
Un archivo copiado dentro de un documento abierto de Microsoft Office y luego copiado y empastado sobre el Windows Desktop crea un archivo "Scrap" con la extensión .SHS. Los archivos Scrap fueron creados para permitir que los textos y gráficos puedan ser arrastrados y colocados (drag and drop) dentro de las aplicaciones de Microsoft Office.
Este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensión y ejecutará el programa que contiene en forma oculta, al hacerle un doble click. Cuando es distribuido a través del correo electrónico, transferido como mensaje dentro de la Red u otro medio basado en la Web, la extensión .SHS se hace visible, pero una vez que es grabado al disco duro, desaparecerá otra vez. Al tener estas características, puede ocultar archivos ejecutables, mayormente usados como troyanos en Windows 95/98/2000 y NT.
El gusano se propaga rápida y peligrosamente de 4 formas:
1. A través de correo electrónico en clientes de MS Outlook. Se auto-envía a todos los buzones de la Libreta de Direcciones, si existen menos de 101. Si hay una mayor cantidad, escogerá 100 direcciones al azar. 2. A través de todas las unidades de redes disponibles, no solamente las mapeadas (compartidas). Para lograr este objetivo busca la carpeta de Windows en cada drive y si la encuentra, se copia a sí mismo al directorio de Inicio de cada unidad, de tal modo que el gusano es ejecutado la siguiente vez que se inicie el sistema. Si el directorio Windows no existe, crea una copia de sí mismo con un nombre aleatorio, en el directorio raiz de todos las unidades accesible de la red.3. A través del canal de chat mIRC. Envía copias de sí mismo a todos los usuarios que están conectados en el mismo canal del usuario infectado, dentro de un archivo llamado LIFE_STAGES.TXT.SHS (Etapas de la Vida).
4. A través del pIRCH, el segundo mas popular canal de IRC. Emplea el método anterior y también envía el archivo LIFE_STAGES.TXT.SHS.
Cuando el receptor del mensaje hace click en el archivo anexado, que contiene un icono de archivo de texto, se muestra una ventana de la Libreta de Notas (Notepad), la misma que contiene varios chistes acerca de etapas de la vida de los hombres y las mujeres:
- |
Las etapas de la vida del hombre: | |
| Edad | Argumentos de seducción | |
17 |
Mis padres han salido por el fin de semana. | |
25 |
Mi enamorada ha salido por el fin de semana. | |
35 |
Mi novia ha salido por el fin de semana. |
|
| 48 | Mi esposa ha salido por el fin de semana. | |
66 |
Mi segunda esposa ha fallecido. | |
| Edad | Deporte favorito | |
17 |
Sexo | |
25 |
Sexo | |
35 |
Sexo | |
48 |
Sexo | |
66 |
Dormitar | |
| Edad | Definición de una cita triunfal | |
17 |
Lengua. | |
25 |
Desayuno. | |
35 |
Ella no se adecuó a mi terapia. | |
48 |
No tuve que conocer a sus hijos. | |
66 |
Llegué a casa con vida. | |
- |
Las etapas de la vida de la mujer: | |
| Edad | Fantasía favorita |
17 |
Alto, moreno y guapo. | |
25 |
Alto, moreno y guapo y con dinero. | |
35 |
Alto, moreno, guapo, con dinero y cerebro. | |
48 |
Un hombre con cabello. | |
66 |
Un hombre. | |
| Edad | Cita ideal | |
17 |
El ofrece pagar. | |
25 |
El paga. | |
35 |
El prepara el desayuno a la mañana siguiente. | |
48 |
El prepara el desayuno a la mañana siguiente para los hijos. | |
66 |
El puede mascar su desayuno. | |
Sus efectos principales consisten en borrar el archivo REGEDIT.EXE y enviar mensajes de correo, no solicitados, vía Microsoft Outlook. El VBS/Stages es el primer virus oculto dentro de un archivo .SHS y debido a sus características surgirán muchas otras variantes.
PER ANTIVIRUS® detecta y elimina eficientemente este virus y sus variantes por crearse, gracias a su exclusiva rutina Heurística para este tipo de virus.
