| |
VSantivirus No. 629 - Año 6 - Jueves 28 de marzo de 2002
VBS/Ardin.B. Muchos mensajes en español y borrado de .VBS
http://www.vsantivirus.com/ardin-b.htm
Nombre: VBS/Ardin.B
Tipo: Troyano de Visual Basic Script
Alias: VBS.Annod, VBS.Jadra.A, VBS/Madonna.A
Fecha: 27/mar/02
Este troyano, escrito en Visual Basic Script, añade algunas claves al registro de Windows, sobreescribe archivos con extensión
.VBS y muestra varias ventanas de mensajes en español.
El troyano se ejecuta por la intervención del usuario, no existiendo ninguna rutina de propagación presente.
Cuando el código del troyano es ejecutado, se generan las siguientes acciones:
Se añaden las siguientes entradas al registro, que ejecutan ciertos programas cada vez que se reinicia Windows, junto con el propio troyano en archivos
.VBS infectados.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Don't_Cry_for_me_Argentina =
"wscript.exe c:\windows\Like_A_Virgin.MP3.vbs %
Don't_Cry_for_me_Argentina =
"Explorer.exe c:\windows\Explorer.exe %"
JadraquerKiller = "Command.com c:\windows\Command.com %"
ZoneAlarm Pro = "Cdplayer.exe c:\windows\Cdplayer.exe %"
AVPCC = "Defrag.exe c:\windows\Defrag.exe %"
AVP_Monitor = "Scandskw.exe c:\windows\Scandskw.exe %"
NAVDefAlert = "Winfile.exe c:\windows\Winfile.exe %"
McAfeeVirusScanService =
"Winfile.exe c:\windows\Winfile.exe %"
También agrega la siguiente clave al registro:
HKEY_CURRENT_USER\MyRegKey
Y dentro de ella, numerosas entradas.
Luego busca archivos con extensión .VBS en el directorio actual donde se ejecuta el propio troyano, y sobreescribe esos archivos con su propio código.
Una serie de ventanas con mensajes, obligan al usuario a responder ciertas interrogantes, para evitar serios daños al sistema.
Estos son los mensajes desplegados (se muestran con las faltas de ortografía incluidas):
Windows Script Host
Este Archivo mostrará las canciónes de la gran artista erótica Madonna.
[ OK ]
Windows Script Host
Instalación finalizada con exito, ahora podrá disfrutar las canciónes de MADONNA! :)
[ OK
]
Windows Script Host
Canciónes: Papa Don't Preach, Like a Virgin, Secret, Don't tell me, Music, Holiday, Lucky Star, Borbeline, La isla Bonita.
[ OK
]
Windows Script Host
Antes de escuchar esas canciónes deberas responder este cuestionario:
[ OK
]
Windows Script Host
Quien es la reina del POP?
[ OK
]
Windows Script Host
UUPSSSSS!!!, no respondiste!!!!!!, haber... otra pregunta, quien es el mejor del mundo?
[ OK
]
Windows Script Host
Otra VEZ!!!!!, no hay respuesta!!!!!!!!!!!!, bueno... por esto te costará algo, no atí, sino que a tu Ordenador,
ahora tu ordenador cargará más aplicaciónes al inicio
jajajajaja
[ OK
]
Ardin.B muestra aquí otros comentarios en español, que indican al usuario que hacer al no tener más computadora (no se muestran aquí por ser obscenos). Finalmente muestra este mensaje:
Windows Script Host
VBS.Madonna.a By ***Jadraquer Killer***
[ OK ]
Existe otro texto en el cuerpo del troyano, que no es visible en ningún momento por pantalla:
VBS.Madonna.a (Beta) by ***Jadraquer Killer***
Hecho en Chile / Made in Chile.
Limpieza manual del troyano
Para limpiar un sistema infectado, ejecute un antivirus al día, y borre todas las apariciones del troyano (los archivos .VBS sobrescritos, deberán ser recuperados desde respaldos actualizados, o reinstalando las aplicaciones correspondientes, por ejemplo.
Limpie del registro (usando REGEDIT desde Inicio, Ejecutar, REGEDIT + Enter), las siguientes entradas colgadas de la siguiente rama:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
En el panel de la derecha del editor del registro, busque y borre las siguientes entradas:
wscript.exe
Explorer.exe
JadraquerKiller
ZoneAlarm Pro
AVPCC
AVP_Monitor
NAVDefAlert
McAfeeVirusScanService
El troyano no posee rutinas de propagación.
Eliminación manual del virus
Debido a sus características destructivas, luego de la revisación del sistema con antivirus actualizados, se requiere la reinstalación de archivos críticos de Windows, para un correcto funcionamiento del sistema. Sin embargo, la mayoría de las veces, en caso de la ejecución del troyano, la única solución podría ser la reinstalación completa del sistema operativo.
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Notas
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
