«BadAss» es un nuevo gusano que está propagándose vía Internet usando MS Outlook. El gusano es un ejecutable Windows EXE con un tamaño de 25Kb escrito en VisualBasic. Parece basado en el virus de macro Melissa, las funciones y secuencia de instrucciones del código del gusano son muy similares a las de este este conocido virus/gusano. Parece como si el «BadAss» se hubiera compilado partiendo del código de Melissa realizando algunas leves modificaciones.
El gusano se transmite por la red en archivos infectados adjuntos a mensajes de correo electrónico. El archivo anexo original lleva el nombre BADASS.EXE, pero es posible renombrar manualmente el archivo EXE y continuar la propagación con el nuevo nombre.
Cuando se recibe un mensaje infectado y se ejecuta el archivo anexo, el gusano toma el control e inicia su rutina principal mostrando ventanas de mensajes. A continuación, ejecuta la rutina de infección abriendo la base de datos de Outlook, obtiene la libreta de direcciones de correo y env¡a mensajes infectados a los miembros de la lista. El asunto del mensaje infectado contiene la cadena: «Moguh..» y el texto «Dit is wel grappig! :-)» como cuerpo.
El gusano no env¡a dos veces mensajes desde el mismo ordenador. Para evitar la duplicidad crea una clave en el registro del sistema y la comprueba cada vez que arranca.
HKCUSoftWareVB and VBA Program SeettingsWindowsCurrentVersion «CMCTL32″=»00 00 00 01»
La primera ventana de mensajes mostrada por el gusano contiene el siguiente texto:
Kernel32
An error has occured probably because your cunt smells bad. Is this really so?
[ Yes ] [ No ]
Al mover el cursor con el rat¢n hacia el bot¢n [No] el gusano lo mueve hacia [Yes] y continua haci’ndolo hasta que se pulsa [Yes]:
[ Yes ] [ No ]
[ No ] [ Yes ]
[ Yes ] [ No ]
As¡, el gusano no permite que se pulse el bot¢n [No] (ver tambi’n el programa-broma «Win.Stupid»). Cuando se pulsa el bot¢n [Yes] el gusano muestra otro mensaje y ejecuta la rutina de infecci¢n:
WIN32
Contact your local supermarket for toiletpaper and soap to solve this problem.
[ OK ]
M s informaci¢n:
I-Worm.BadAss en AVPVE
http://www.avpve.com/viruses/worms/bad_ass.html
Kaspersky Labs
Por HispaSec
http://www.hispasec.com
