Asunto: god loves kittens!
Texto: haha look at this!
Datos adjuntos: setup.vbe

También puede enviarse a través del programa mIRC (cliente utilizado para participar en canales de chat). Para ello crea un script de IRC.

Cuando el usuario ejecuta un adjunto infectado o un archivo recibido a través del mIRC, el gusano toma el control, copiándose a si mismo en la carpeta System de Windows y en la carpeta de instalación del mIRC:

C:\Windows\System\SETUP.VBE
\Mirc\MIRC32.DAT

Luego se envía a través del Outlook en un mensaje similar al mostrado antes, a toda la libreta de direcciones.

Si encuentra el mIRC en el sistema, genera los archivos MIRC32.INI y MIRC32.DAT, ambos con instrucciones para enviar copias del propio gusano a todos los usuarios conectados al mismo canal de IRC del usuario infectado.

El gusano también modifica el registro de Windows, para ejecutarse luego en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Mirc32 = "wscript.exe c:\windows\system\setup.vbe"

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.


Reparación manual

Para reparar manualmente la infección provocada por este gusano, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por el gusano

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Mirc32         "wscript.exe c:\windows\system\setup.vbe"

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com