Virus Help

Efectos:

Los principales efectos de Happy Time son:

• Modifica ficheros con extensiones HTM, HTM, ASP, VBS y HTT.
• Busca y elimina ficheros con extensiones DLL y EXE.

Metodo de infección:

Help crea los siguientes ficheros:

• HELP.HTA y HELP.VBS, en la primera carpeta que encuentra en la unidad C:.

  Estos ficheros contienen el código del virus y se utilizarán para infectar todo el sistema.

• HELP.HTM, localizado en el directorio de Windows.

  Si el Ecritorio está configurado para que se muestre como una página Web, Help utiliza este fichero para ejecutarse de modo automático.

• UNTITLED.HTM. El objetivo de este fichero es convertirse en el diseño de fondo de los correos electrónicos enviados a otras direcciones para infectarlas.

Happy Time modifica las siguientes entradas del Registro de Windows:

• HKEY_CURRENT_USER\Control Panel\Desktop\wallPaper="C:\WINDOWS\Help.htm”

  Con esta modificación, el fichero HELP.HTM es trasformado en Fondo de Escritorio.

• HKEY_CURRENT_USER\Identities\{USERID}\Software\Microsoft\Outlook Express\5.0\Mail\Message Send HTML="1"
• HKEY_CURRENT_USER\Identities\{USERID}\Software\Microsoft\Outlook Express\5.0\Mail\Compose Use Stationery="1"
• HKEY_CURRENT_USER\Identities\{USERID}\Software\Microsoft\Outlook Express\5.0\Mail\Stationery Name="C:\WINDOWS\Untitled.htm"

  Con estas 3 últimas modificaciones, se configura el fichero UNTITLED.HTM como diseño de fondo de los correos de Outlook Express.

  El valor {USERID} depende del usuario que esté activo en ese momento. El gusano toma este valor de la siguiente clave del Registro de Windows:

• <span class="code">HKEY_CURRENT_USER\Identities\Default User ID={USERID}
• HKEY_CURRENT_USER\Software\Help\Count="x"

  Corresponde al contador del número de veces que se ha ejecutado.

• HKEY_CURRENT_USER\Software\Help\FileName="nombrefichero"</span>

  Siendo "nombrefichero"la clave que hace referencia al nombre y la ruta del fichero.

• HKEY_CURRENT_USER\Software\Help\wallPaper="C:\WINDOWS\Help.htm"

  Asignando el fichero HELP.HTM a esta entrada, Help consigue ejecutarse de modo automático.

Happy Time también utiliza las siguientes técnicas:

• Help se ejecuta automáticamente e infecta ficheros cuyas extensiones sean: HTML, HTM, ASP, VBS y HTT. Estos ficheros sufren modificaciones en su código de forma que se añade el texto: Rem I am sorry! Happy time al contenido original.
• Cálculo de la fecha del sistema. Si en la fecha de activación del gusano la suma del día y el mes es igual a 13, el gusano tratará de buscar y eliminar ficheros con extensiones DLL y EXE.

Metodo de propagación:

Help utiliza el programa Outlook Express para propagarse. Para ello actúa del siguiente modo:

• Help llega oculto en un mensaje de correo electrónico. El código de infección está en el propio mensaje, en el formato HTML que sirve de fondo a los mensajes.
• Help se activa con solo visualizar el mensaje, aunque no lleve ningún fichero incluido o adjunto. La infección puede llegar a producirse sin necesidad de abrir el mensaje ya que el programa Outlook puede tener activada la opción Vista previa.
• Una vez activo,  Help crea dos ficheros, HELP.HTA y HELP.VBS, que contienen el código del virus.
• Si el sistema infectado tiene configurada la opción que permite ver el Escritorio como una página Web, Help copia y ejecuta el fichero.

Otros detalles:

Help está escrito en el lenguaje de programación Visual Basic Script.