Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/777-B. Una "variante" del ILOVEYOU 
 
Miércoles 1 de noviembre de 2000

Nombre: VBS/777-B
Tipo: Gusano de Visual Basic Script (VBS)

Es una variante del gusano VBS/777. A diferencia de aquel (que poseía una rutina maliciosa que no funcionaba), esta variante tiene código del VBS/LoveLetter agregado.

El gusano llega en un mensaje con estas características:

Asunto:
I HATE YOU
Cuerpo del mensaje:
kindly check the attached GOODBYE NEWSGROUPS coming from me.
Archivo adjunto:
MY-FAREWELL-2-NEWSGROUPS.TXT.VBS

Note la doble extensión. Esto lo hace pasar por un inocente archivo TXT (Vea en "Especial sobre el Loveletter", el tema "Habilitar la opción para poder ver las extensiones verdaderas de los archivos").

Debido a que el virus arriba en un archivo VBS, el mismo requiere tener habilitado el "Windows Scripting Host (WSH)" para poder funcionar. Vea en nuestro sitio "Deshabilitar el Windows Scripting Host en nuestro PC".

Crea luego un archivo HTM que permite propagar el virus, y un script de mIRC (programa de chat), con el que podría propagarse en los canales de chat a los que entre el usuario infectado.

El virus revisa la carpeta de descarga del Internet Explorer, por la presencia del archivo WinFAT32.exe. Si este archivo no existe, el virus selecciona al azar uno de cuatro sitios, y modifica el registro para poner el elegido, como página de inicio. La dirección apunta a un archivo EXE llamado, WIN-BUGSFIX.exe, el cuál es descargado, y luego el registro de Windows es modificado para que este EXE sea ejecutado en el próximo reinicio del PC. Este archivo es detectado como Troj/LoveLet-A por la mayoría de los antivirus actualizados.

La página de inicio del Internet Explorer es puesta luego con el valor "página en blanco".

El virus se copia a si mismo en dos lugares, dentro del directorio del sistema, donde será ejecutado cada vez que la computadora se reinicie.

Para que funcione la opción de reenviarse vía correo electrónico, se requiere tener instalado el Microsoft Outlook. En este caso, el gusano intentará enviarse a cada contacto existente en la libreta de direcciones.

El virus busca por todas las unidades de disco locales y de red, archivos con las extensiones VBS, VBE, JS, JSE, CSS, WSH, SCT y HTA. Estos archivos serán sobrescritos por el virus, y luego renombrados todos como archivos *.VBS (Ej: ARCHIVO.CSS quedará como ARCHIVO.VBS).

Cualquier archivo JPG o JPEG será sobrescrito, pero se le agrega .VBS como segunda extensión (Ej: ARCHIVO.JPG quedará como ARCHIVO.JPG.VBS).

Cualquier archivo MP2 o MP3 será convertido a oculto (atributo H), y se creará uno del mismo nombre con la extensión .VBS agregada.

Si el virus detecta el mIRC instalado en el PC, genera un script que le permitirá enviarse a si mismo a través del IRC.

Los archivos infectados deberán borrarse.

Si se tiene deshabilitado el Windows Scripting Host, no existen posibilidades que este virus se propague.

Fuente: Sophos Anti-Virus.

 

Copyright 1996-2000 Video Soft BBS