Otro gusano escrito en Visual Basic Script infecta miles de
ordenadores en pocas horas. En esta ocasión se presenta en un mensaje
con el asunto "Mawanella" y el fichero adjunto "Mawanella.vbs".
Apenas una semana después de la aparición en escena de "Homepage", nos
encontramos con un espécimen cortado por el mismo patrón, hasta el
punto de estar diseñado con el mismo kit de creación. Por ejemplo, si
el sistema de cifrado de "Homepage" consistía en sumar 2 al código
ASCII de los caracteres, "Mawanella" suma 5.
Resulta extremadamente sencillo reconocer la llegada del gusano, que
viaja en un mensaje con las siguientes características:
Asunto: Mawanella
Cuerpo: Mawanella is one of the Sri Lanka's Muslim Village
Adjunto: Mawanella.vbs
Si se ejecuta el fichero infectado, el gusano crea una copia de sí
mismo en la carpeta de sistema de Windows y activa la ya típica
rutina de propagación, que no es otra que autoenviarse a todas las
direcciones de la libreta de contactos de Outlook. Además el gusano
muestra una ventana con el título "VBScript: Mawanella", donde se
representa con caracteres una casa ardiendo, bajo la cual se puede
leer el siguiente texto:
Mawanella is one of the Sri Lanka's Muslim Village. This brutal
incident happened here 2 Muslim Mosques,100 Shops are burnt. I
hate this incident, What about you? I can destroy your computer.
I didn't do that because I am a peace-loving citizen.
El colmo del gusano es que si detecta que el sistema no tiene
instalado Microsoft Outlook, y por tanto no puede llevar a cabo su
rutina de propagación, pide directamente al usuario que reenvíe el
mensaje a través del texto:
Please Forward this to everyone
Lo más sorprendente de "Mawanella" es la propagación que ha
conseguido. Parece que son muchos los usuarios que siguen sin poder
reprimir la tentación de abrir todo aquello que les llega a través
del correo electrónico.
Más Información:
Gusano Homepage, ¿vuelven a fallar los antivirus?
http://www.hispasec.com/unaaldia.asp?id=927
AVP
http://www.avp.ru/news.asp?tnews=0&nview=1&id=188&page=0
CAi
http://www3.ca.com/Press/PressRelease.asp?id=1586
F-Secure
http://www3.ca.com/Press/PressRelease.asp?id=1586
NAi
http://vil.nai.com/vil/virusSummary.asp?virus_k=99090
Norman
http://www.norman.com/virus_info/vbs_vbswg_z.shtml
Sophos
http://www.sophos.com/virusinfo/analyses/vbswgz.html
Symantec
http://www.sarc.com/avcenter/venc/data/[email protected]
Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_VBSWG.Z
Marcadores