VEREN, de alta propagación masiva vía correo infecta servidores, estaciones y PC domésticas.  

© Jorge Machado  Lima-Perú

JS_Veren@mm, JS_Never@mm

Veren es un Java Script que se comporta como un gusano. Reportado el 8 de Diciembre del 2002 se propaga masivamente mediante el envío de mensajes de correo, por lo general con Asuntos en forma personalizada, es decir, con el nombre del destinatario. En forma aleatoria elige diversos asuntos, archivos anexados y contenidos alusivos a los populares archivos de formato MP3. 

Tiene 3.6 KB de extensión e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP.

Sus mensajes tienen las siguientes características:

Asunto, cualquiera de los siguientes:

Hello "nombre_de destinatario"!
Hey "nombre_de destinatario"! 
Fwd: Hey You!
Fwd: Check this!
Fwd: Just Look
Fwd: Take a look! 
EmailUsers+"! 
Fwd: Loop at this! 
Fwd: Check this out!
Fwd: It's Free!
Fwd: Look! 
Fwd: Free Mp3s! 
Fwd: Here you go! 
Fwd: Have a look! 
Look "nombre_de destinatario!"
Fwd: Read This!

Contenido, cualquiera de los siguientes:

Hello! 

Check out this great list of mp3 sites that I included in the attachments! 
I can get any Mp3 file that I want from these sites, and its free! And please don't be greedy! forward this email to all the people that you consider friends, and Let them benefit from these Mp3 sites aswell! 

Enjoy! 

Anexado, uno de los siguientes archivos:

Free_Mp3s.js
Fwd_Mp3s.js
Mp3_Sites.js
Mp3_Web.js 
Mp3_List.js 
Mp3_Pages.js
Web_Mp3s.js 
Mp3-Sites.js
Fwd-Mp3s.js 
Mp3-Fwd.js 
Fwd-Sites.js

Ejemplo de mensaje:

 

Al ejecutar el archivo anexado, se auto-copia a la carpeta %System% con el nombre de CmdWsh32.js y como StartUp.js en la carpeta de Inicio de %Windir%.

C:\%System%\Start menu\programs\startup\StartUp.js  

Busca todas las unidades de disco de redes compartidas, y se copia así mismo a cada una de ellas como un archivo temporal de nombre TEMPORARY.JS donde registrará las direcciones de correo a ser enviadas.  

Para ejecutarse la próxima vez que se inicie el sistema genera las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
JSCmd32 = "Wscript.exe %System%\CmdWsh32.js %1"

[ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices]
JSCmd32 = "Wscript.exe %System%\CmdWsh32.js %1"

También modifica los siguientes registros:

[HKEY_CLASSES_ROOT\txtfile\shell\open\command] 
"Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"

[HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command] 
"Wscript.exe %System%\CmdWsh32.js %1"

[HKEY_CLASSES_ROOT\scrfile\shell\open\command] 
"Wscript.exe %System%\SYSTEM\CmdWsh32.js %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\txtfile\shell\open\command] 
"Wscript.exe %System%\CmdWsh32.js %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\JSFile\Shell\Open\Command] 
"Wscript.exe %System%\CmdWsh32.js %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\scrfile\shell\open\command] 
"Wscript.exe %System%\CmdWsh32.js %1" 

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Para el envío masivo de mensajes manipula las librerías MAPI ( (Messaging Application Programming Interface) y las extraídas de las unidades de disco, haciendo uso de una petición de paquetes denominado GNS (Get Nearest server) enviada por un cliente de una red IPX (Internet Packet Exchange), que es un protocolo de conectividad de los servidores Novell.

Una vez ejecutado el envío el gusano borra todo vestigio de mensajes enviados de la carpeta correspondiente. 

El autor crea su firma en las siguientes entradas de registro:

[HKEY_CURRENT_USER\Software\Never] 
“@” = "Never by Zed/[rRlf]"

[HKEY_USERS\.DEFAULT\Software\Never] 
“@” = "Never by Zed/[rRlf]"

PER ANTIVIRUS® versión 7.8 con registro de virus al 8 de Diciembre del 2002 detecta y elimina eficientemente este gusano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS