VBS_Shakira, W32/Shakira@mm

Shakira es un gusano reportado el 27 de Mayo del 2002 de alta propagación masiva en Internet a través de mensajes de correo electrónico y vía el software de Chat mIRC, que supuestamente contiene fotos de la famosa y bella cantante colombiana de gran popularidad en todo el mundo.

El gusano se propaga en mensajes de correo con un archivo anexado de nombre ShakiraPics.jpg.vbs, de doble extensión, pero que solo visualiza la segunda. Ocupa 7.8 KB de espacio.   

Está desarrollado en Visual Basic y es un PE (Portable Ejecutable) que infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Si el usuario ejecuta el archivo, el gusano se copia a la carpeta C:\Windows y sobre-escribe los archivos .VBS y .VBE, impidiendo su correcto funcionamiento y modifica las siguientes llaves de registro:

• [HKEY_CURRENT_USER\Software\ShakiraPics\mailed=1]
• [HKEY_CURRENT_USER\Software\ShakiraPics\Mirqued=1

La primera llave permite que el script manipule las funciones MAPI (Messaging Application Programming Interface) para auto-enviarse a todos los buzones de correo de la Libreta de direcciones de MS Outlook. La segunda es un espejo del gusano.

Para asegurarse de ser ejecutado la próxima vez que se inicie el sistema modifica la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Registry=wscript.exe C:\WINDOWS\ShakiraPics.jpg.vbs %

Del mismo modo, si el software mIRC se encuentra instalado en el equipo infectado, el gusano se sobre-escribe en la carpeta c:\mirc\script.ini para poder auto-enviarse a todos los usuarios que se encuentren conectados en la misma sesión de Chat del sistema infectado, mostrando la siguiente caja de diálogo:

Tú has sido infectado con el Gusano de las fotos de Shakira  

Los archivos que afectan al SCRIPT.INI y cualquiera de los programas basados en los canales del IRC (Internet Chat Relay), pueden contener comandos que permiten a otras personas controlar en forma remota las sesiones de IRC de un usuario infectado, observar las conversaciones que éste mantiene y otras acciones adicionales, tales como terminar o cancelar una conversación o sesión de Chat.

Este script se puede reproducir auto-enviándose a través de una transferencia DCC (Direct Control Command) y al hacerlo, toma ventaja de dos funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-DCC-get) y la ejecución automática de cualquier archivo llamado SCRIPT.INI que se encuentre en el directorio de instalación de la aplicación.

El SCRIPT.INI puede realizar, entre otras cosas, lo siguiente:

• Re-direccionar todos los mensajes enviados por el usuario, en forma abierta o privada a otro canal.

• Interrumpir la sesión de IRC cuando otra persona ejecute un comando determinado, 

• Permitir el acceso total al sistema del usuario afectado, a través de algún tipo de aplicación como el fserve, al enviar remotamente cualquier comando predefinido,

• Bloquear o alterar mensajes procedentes del o de los sistemas infectados.

• Enviarse en forma automática a otros usuarios.

PER ANTIVIRUS® versión 7.5 con registro de virus al 27 de Mayo del 2002 detecta y elimina eficientemente este gusano.