Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Ardin.C. Falsas fotos XXX de Madonna, borran archivos
 
VSantivirus No. 629 - Año 6 - Jueves 28 de marzo de 2002

VBS/Ardin.C. Falsas fotos XXX de Madonna, borran archivos
http://www.vsantivirus.com/ardin-c.htm

Nombre: VBS/Ardin.C (Jadra.B, Madonna.B)
Tipo: Troyano de Visual Basic Script
Alias: VBS.Ardin.C, VBS.Jadra.B, VBS.Madonna.B, VBS/Navigator, VBS/Mad-A.
Plataforma: Windows 32-bit
Tamaño: 5.707 bytes
Fecha: 27/mar/02

Es un troyano escrito en Visual Basic Script, de origen chileno, con una rutina sencilla pero altamente destructiva, aunque requiere la acción del usuario para iniciar su acción. La falta de una rutina propia de propagación, también disminuye enormemente la capacidad de contagio y su peligrosidad. El troyano debe ser reenviado manualmente a otros destinatarios para actuar

Es una variante del Ardin.B, del mismo autor, creado aparentemente con un kit de construcción de virus, aunque no es identificado por la mayoría de los antivirus a menos que los mismos hayan sido actualizados.

Al ser ejecutado, el troyano muestra una ventana de diálogo con el siguiente texto:

VBScript
Este archivo, te instalará tres fotos XXX Pornos de Madonna, que las disfrutes :).
[    OK    ]

El troyano crea entonces una serie de archivos en varias ubicaciones del disco duro (carpetas temporales, Windows, Windows\System, etc.), sobrescribiendo archivos vitales de Windows, además de generar otros totalmente nuevos.

También elimina de esta manera, archivos vitales de conocidos antivirus.

Todos los archivos creados son una copia del propio troyano.

Además de ello, busca en el directorio corriente (donde el código .VBS del virus se encuentre al ser ejecutado), todos los archivos con extensión .EXE y también los sobrescribe con su propio código.

Los archivos creados o sobrescritos por el virus son:

C:\Windows\TEMP\XXX_Porn_MADONNA.Jpeg
C:\Windows\Sex_Madonna.JPG
C:\Windows\System\AVP_Monitor.EXE
C:\Windows\Emm386.exe
C:\Windows\Sol.exe
C:\Windows\caca.txt
C:\Windows\Cdplayer.exe
C:\Windows\System\Like_A_Virgin.MP3
C:\Windows\System\Erotica.MP3
C:\Windows\System\Don't_Cry_for_me_Argentina.mp3
C:\Windows\System\Secret.MP3
C:\Windows\System\Holiday.MP3
C:\Windows\System\Borbeline.MP3
C:\Windows\System\Don't_tell_me.MP3
C:\Windows\System\avpcc.exe
C:\Windows\System\AVP_The_moore_goog.exe
C:\Windows\System\NAV_The_more_poor.exe
C:\Windows\System\VShield.exe
C:\Windows\System\AVP_EL_MEJOR.EXE
C:\Windows\System\Norton_AV_EL_PEOR!!!!!!!.EXE
C:\Windows\System\avprescue.exe
C:\Windows\System\Panda_AntiVirus.exe
C:\Windows\System\NOD32.EXE
C:\Windows\System\Jadraquer_Killer.txt
C:\Windows\CHILE.Pais
C:\Windows\Sex_Madonna2.txt
C:\Windows\Madonna_sucking_my_dick.AVI
C:\Windows\Crazy_for_you.MP3
C:\Windows\Bill_Gates_GAY.bmp
C:\Windows\Santiago,Chile
C:\Windows\avpcc.exe
C:\Windows\msconfig.exe
C:\Windows\pbrush.exe
C:\Windows\Mshearts.exe
C:\Windows\Soy_el_mejor.AGM
C:\Windows\hh.exe
C:\Windows\Notepad.exe
C:\Windows\Scandiskw.exe
C:\Windows\Defrag.exe
C:\Windows\avp32.ini
C:\Windows\Explorer.exe
C:\Windows\Regedit.exe

Muestra la siguiente ventana de mensajes:

VBScript
MADONNA BUELVE MÁS DESTRUCTIVA Y PROVOCATIVA!!!!!!!
[    OK    ]

Luego, el troyano continúa copiando (sobrescribiendo) más archivos:

C:\Windows\Win.ini
C:\Windows\Win.com
C:\Windows\Command.com
C:\Windows\Asd.exe

Muestra los siguientes mensajes:

VBScript
Instalación finalizada, puedes ver las Fotos de madonna
en C:\XXX_Madonna
[    OK    ]

VBScript
VBS.Madonna.B (Esta vez buelve más destructiva) por ****Jadraquer Killer****"
[    OK    ]

VBScript
Recién comienza el *juego*
[    OK    ]

VBScript
Symantec Norton AntiVirus es pésimo!!!! :(, prefiera Kaspersky Anti-Virus (AVP) :)
[    OK    ]

Y finalmente sobreescribe también el siguiente archivo:

C:\Windows\Wscript.exe

Y se copia un archivo de solo texto:

C:\Windows\Madonna.txt

El contenido de Madonna.txt es el siguiente:

MADONNA te amo!!!!!!!, eres la mejor, eres preciosa, quiziera conocerte, nadie te va a superar en el POP, en Chile no todos somos indios!!!!, porfavor ven a verme, ***Jadraquer Killer***

La mayoría de los mensajes, como vimos, se destacan por la cantidad de faltas ortográficas.

En el cuerpo del virus, no visible al usuario en circunstancias normales, se esconde el siguiente mensaje:

VBS.Madonna.b
By ***Jadraquer Killer***
Hecho en Chile / Made in Chile
Esta es una variante del virus Original VBS.Madonna.a, esta variante es mucho más destructiva, y hace más cosas, y lo mejor!!!, no es detectada por muchos anti-virus :), la otra variante solo sobreescribia archivos .VBS, ESTA SOBRE ESCRIBE ARCHIVOS .EXE!!!!!!!

El troyano no posee rutinas de propagación.


Eliminación manual del virus

Debido a sus características destructivas, luego de la revisación del sistema con antivirus actualizados, se requiere la reinstalación de archivos críticos de Windows, para un correcto funcionamiento del sistema. Sin embargo, la mayoría de las veces, en caso de la ejecución del troyano, la única solución podría ser la reinstalación completa del sistema operativo.


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS