|
VBS.ZVM@mm, VBS.Bajar@mm, VBS.Bajar.B@mm
ZVM es un gusano reportado el 02 de Julio del 2002, de gran difusión masiva vía correo electrónico, debido a que su mensaje en español aduce contener un programa para descargar música gratuita y se propaga con un archivo anexado, ejecutable, de nombre aleatorio con doble extensión, siendo la segunda .Vbs, que se propaga a través de la libreta de direcciones de MS Outlook y borra archivos del sistema.
Su variante, conocida como Bajar.B se propaga con un archivo anexado de nombre ZVMUSIC.EXE.
Ha sido desarrollado en el lenguaje Visual Basic 6.0, tiene 22 KB de extensión y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Este gusano tiene un formato PE (Portable Ejecutable) que infecta todos los sistemas operativos operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000. Ejemplo de mensaje:
Al ejecutar el archivo infectado, el gusano se auto-copia al directorio raíz C:\System.dll.vbs y crea un Visual Basic Script que usa para su auto-envío masivo a través de Microsoft Outlook y Outlook Express.
El gusano crea un llave el registro para
ejecutarse la próxima vez que se inicie el sistema:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default = c:\System.dll.vbs
Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo, con un efecto multiplicador. Sin embargo, esta acción la ejecutará una sola vez en el sistema infectado debido a que:
Su payload consiste en borrar los siguientes archivos del sistema, dejándolo inutilizable.
PER ANTIVIRUS® versión 7.5 con registro de virus al 02 de Julio del 2002 detecta y elimina eficientemente este gusano y sus variantes.
