|
I-WORM.TIMOFONICA troyano de correo electrónico con archivo anexado VBS Script
|
|
©
Jorge Machado Lima-Perú
|
|
I-Worm.Timofonica
Este gusano es una variante de la
ola de los gusanos recientemente difundidos a través de mensajes de correo electrónico,
con archivos anexados conteniendo Visual Basic Scripts. Al igual que sus predecesores, Timofónica toma control de la Libreta de Direcciones de MS-Outlook
y se auto envía a todos las direcciones de correo del sistema del usuario infectado.
También esta escrito en el lenguaje
"Visual Basic Script" (VBS). Aunque actúa únicamente en computadoras en las
cuales se ha instalado el Windows Scripting Host (WSH), el cual es realizado por defecto
en Windows 98 y Windows 2000.
Cuando se ejecuta, el gusano envía sus copias de sí mismo por mensajes de correo e
instala su programa troyano en los sistemas que infecta.
Difusión:
El gusano Timofónica es difundido a través de un mensaje de correo con un archivo VBS
anexado, que es el propio troyano. El mensaje contiene lo siguiente:
Asunto:
TIMOFONICA
Cuerpo del Mensaje:
Es de todos ya conocido el
monopolio de Telefónica pero no tan conocido los métodos que utilizó para llegar hasta
este punto. En el documento adjunto existen opiniones, pruebas y direcciones web con más
información que demuestran irregularidades en compras de materiales, facturas sin
proveedores, stock irreal, etc. También habla de las extorsiones y favoritismos a
empresarios tanto nacionales como internacionales. Explica también el por qué del
fracaso en Holanda y qué hizo para adquirir el portal Lycos. En las direcciones web del
documento existen temas relacionados para que echéis un vistazo a los comentarios,
informes, documentos, etc. Como comprenderéis, esto es muy importante, y os ruego que
reenviéis este correo a vuestros amigos y conocidos.
Nombre del archivo anexado:
TIMOFONICA.TXT.vbs
 |
|
Dependiendo de la configuración del
sistema, la verdadera extensión del archivo anexado (".vbs") puede no ser
mostrada. En este caso, el nombre del archivo anexado que aparece en su lugar es
"TIMOFONICA.TXT". Al ser activado por el
usuario (al hacer doble click en el archivo anexado), Timofonica abre el MS-Outlook,
obtiene acceso a la Libreta de Direcciones, reúne todas las direcciones allí contenidas
y envía mensajes a cada uno de ellos con su respectivo archivo anexado.
Además, en cada mensaje infectado que es enviado, este
gusano envía otro mensaje a una dirección generada aleatoriamente, en forma numérica,
al host "correo.movistar.net". Por ejemplo
"639867159@correo.movistar.net".
En realidad el "correo.movistar.net" es una
puerta SMS que envía mensajes SMS a números telefónicos celulares. El número es el
prefijo de la dirección de correo en el mensaje. |
El mensaje que muestra es el siguiente:
Asunto:
TIMOFONICA
Cuerpo del Mensaje:
informa que: Telefónica te está engañando.
Como resultado, el gusano trata de saturar de mensajes a las personas que cuenta con
recepción de mensajes SMS en teléfonos celulares. Timofonica envía tantos mensajes SMS
a números seleccionados aleatoriamente, como la cantidad de mensajes de correo
almacenados en la
Libreta de Direcciones (el gusano envía un mensaje SMS por cada mensaje de correo
infectado), además de instalar el programa troyano.
Instalación del programa troyano:
Para instalar el programa troyano al sistema, Timofonica crea un archivo "Cmos.com" en el directorio Windows
System, y escribe un código, que es almacenado en el cuerpo del gusano, dentro del
archivo. Luego Timofonica registra este archivo en el Registro del Sistema, en la sección
auto-run:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Cmos
= Cmos.com]
La siguiente vez que se inicie el sistema operativo Windows 98 o 2000, el troyano toma
el control, borra la información del CMOS y corrompe la información en las unidades
locales del disco duro.
El gusano crea el archivo "C:\TIMOFONICA.TXT"
con el siguiente contenido:
Comentarios
.... Tarifa
plana de 6000 pts/mes. Extorsion. A principio de 1.998 tras un seguimiento de su gestion
se descubrieron numerosas irregularidades en su gestion, amparadas hasta el momento, en el
desconocimiento que nosotros tenýamos sobre Internet. Kompras de materiales, que nunca
apareció por ningún lado, pero si la factura del proveedor. .... Yo pienso que si
Timofonica (que a fin de cuentas es la dueña de Terra) quiere soltar dineros para una
ONG, no le hace falta hacer este tipo de acto solidario, es mas, me parece misero y
ridikula la kantidad de un millon de pesetas .. Son unos ridikulos de mierda, un millon de
pesetas para ellos no es nada, pero un millon de hits en sus paginas mas a final de mes
supone una pequeña subidita en las acciones de Terra en Bolsa. Total, ke Terra no son las
Hermanitas de los Pobres (pobres monjas, compararlas con los chupasangres de Timofonica),
NI NOSOTROS SEMOS GILIPOLLAS !!! Podran decir que estamos obsesionados, que estamos en
kontra de Timofonica, que protestamos por vicio, PERO ES QUE EN 3 ATOS KE LLEVO EN INET
SOLO LA HAN KAGADO UNA VEZ TRAS OTRA !! SI ES KE SE LO GANAN A PULSO !! Lo dicho , todo lo
que guele a Telefonica SUX, o en castellano tradicional , APESTA ! ....
Direcciones
http://www.telefonica.es/
http://www.timofonica.com/
http://100scripts.islaweb.com/scripting-timofonica.html
http://www.www2.labrujula.net/wwwboard/messages2/1165.html
http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
http://area3d.area66.com/forotec/_disc1/0000015b.htm
http://wwh.itgo.com/Phreaking.htm
http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
http://www.areas.org/debate/dp/2/messages/18.html
http://www.fut.es/mllistes/parlem/January_1999/msg00208.html
Visita estas
páginas. Estáis invitado.
Luego, el gusano modifica el
registro del
sistema para mostrar el contenido de este archivo (en una ventana del Notepad) en lugar de
ejecutar cualquier archivo VBS.
Cuando el archivo anexado es abierto, el gusano agrega un marcador de infección al
registro, de tal modo que no será ejecutado más de una vez. Este es el marcador:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Timofonica]
Para restaurar la normal funcionabilidad para los archivos
VBS se debe ejecutar en la ventana de Comandos, la siguiente instrucción:
WSCRIPT //H:WSCRIPT
PER ANTIVIRUS® detecta y
elimina eficientemente este virus y sus variantes.
