Estás en: Panda Security > Empresas > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Help
PeligrosidadDañoPropagación

Efectos

Los principales efectos de Happy Time son:

Help crea los siguientes ficheros:

HELP.HTA y HELP.VBS, en la primera carpeta que encuentra en la unidad C:.

Estos ficheros contienen el código del virus y se utilizarán para infectar todo el sistema.

HELP.HTM, localizado en el directorio de Windows.

Si el Ecritorio está configurado para que se muestre como una página Web, Help utiliza este fichero para ejecutarse de modo automático.

UNTITLED.HTM. El objetivo de este fichero es convertirse en el diseño de fondo de los correos electrónicos enviados a otras direcciones para infectarlas.

Happy Time modifica las siguientes entradas del Registro de Windows:

HKEY_CURRENT_USER\Control Panel\Desktop\wallPaper="C:\WINDOWS\Help.htm”

Con esta modificación, el fichero HELP.HTM es trasformado en Fondo de Escritorio.

HKEY_CURRENT_USER\Identities\{USERID}\Software\Microsoft\Outlook Express\5.0\Mail\Message Send HTML="1"
HKEY_CURRENT_USER\Identities\{USERID}\Software\Microsoft\Outlook Express\5.0\Mail\Compose Use Stationery="1"
HKEY_CURRENT_USER\Identities\{USERID}\Software\Microsoft\Outlook Express\5.0\Mail\Stationery Name="C:\WINDOWS\Untitled.htm"

Con estas 3 últimas modificaciones, se configura el fichero UNTITLED.HTM como diseño de fondo de los correos de Outlook Express.

El valor {USERID} depende del usuario que esté activo en ese momento. El gusano toma este valor de la siguiente clave del Registro de Windows:

<span class="code">HKEY_CURRENT_USER\Identities\Default User ID={USERID}
HKEY_CURRENT_USER\Software\Help\Count="x"

Corresponde al contador del número de veces que se ha ejecutado.

HKEY_CURRENT_USER\Software\Help\FileName="nombrefichero"</span>

Siendo "nombrefichero"la clave que hace referencia al nombre y la ruta del fichero.

HKEY_CURRENT_USER\Software\Help\wallPaper="C:\WINDOWS\Help.htm"

Asignando el fichero HELP.HTM a esta entrada, Help consigue ejecutarse de modo automático.

Happy Time también utiliza las siguientes técnicas:

Help se ejecuta automáticamente e infecta ficheros cuyas extensiones sean: HTML, HTM, ASP, VBS y HTT. Estos ficheros sufren modificaciones en su código de forma que se añade el texto: Rem I am sorry! Happy time al contenido original.
Cálculo de la fecha del sistema. Si en la fecha de activación del gusano la suma del día y el mes es igual a 13, el gusano tratará de buscar y eliminar ficheros con extensiones DLL y EXE.

Help utiliza el programa Outlook Express para propagarse. Para ello actúa del siguiente modo:

Help se activa con solo visualizar el mensaje, aunque no lleve ningún fichero incluido o adjunto. La infección puede llegar a producirse sin necesidad de abrir el mensaje ya que el programa Outlook puede tener activada la opción Vista previa.
Una vez activo, Help crea dos ficheros, HELP.HTA y HELP.VBS, que contienen el código del virus.
Si el sistema infectado tiene configurada la opción que permite ver el Escritorio como una página Web, Help copia y ejecuta el fichero.

Help está escrito en el lenguaje de programación Visual Basic Script.

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info