Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Chick.B (BritneyPic2). Falso video de Los Caifanes
 
VSantivirus No. 628 - Año 6 - Miércoles 27 de marzo de 2002

VBS/Chick.B (BritneyPic2). Falso video de Los Caifanes
http://www.vsantivirus.com/britneypic-b.htm

Nombre: VBS/Chick.B (BritneyPic2, Breetnee)
Tipo: Gusano de Visual Basic Script
Plataforma: Windows 32-bit
Tamaño: 10,651 bytes
Fuentes: Central Command, NAI, Symantec, BitDefender

Alias:

VBS/Chick.b@MM
VBS.Chick.B@mm
Worm/BritneyPic.2
I-Worm.Brit.b
Caifanes


Un adjunto con extensión CHM (Compiled HTML Help, un formato de HTML compilado usado en archivos de ayuda, propietario de Microsoft), es el gusano que se propaga a través de un mensaje en español con las siguientes características:

Asunto:
RE:Nuevo video de Caifanes

Texto del mensaje:
Caifanes regresa y te muestra su nuevo video musical

Regards,
[nombre del remitente infectado]

Datos adjuntos: CAIFANES.CHM (puede tener otros nombres)

Contrariamente a los que algunos exámenes previos aseguraban, el mensaje no se envía únicamente al primer contacto de la libreta de direcciones del Outlook (utilizando las funciones MAPI), sino que lo hace a TODOS los contactos EXCEPTO aquellos que estuvieran incluidos en grupos dentro de la libreta de direcciones.

La infección comienza cuando el receptor del mensaje, abre el archivo que se envía adjunto.

Si ello ocurre, el siguiente mensaje es mostrado en pantalla:


Permite Active X para ver
el nuevo video de Caifanes


Gratis nuevo video de Caifanes !!!!
                                                                   

Al mismo tiempo, un mensaje del sistema pregunta y advierte lo siguiente:

Internet Explorer

Algunos elementos de software (controles ActiveX) en esta página podrían no ser seguros. No se recomienda ejecutarlos. ¿Desea permitir que se ejecuten?

[    Si    ] [    No    ]

Si se permite la ejecución de controles ActiveX (respondiendo con el botón de [ Si ], el gusano se ejecuta, copiándose a si mismo a la carpeta Windows, y luego continúa ejecutándose desde allí (el archivo .CHM contiene un script en Visual Basic que es el gusano propiamente dicho).

C:\Windows\Caifanes.chm

Las instrucciones que el script lleva a cabo son las siguientes:

1. Busca la presencia de un archivo MIRC.INI (archivo de configuración del programa cliente de chat, mIRC) en las unidades de disco C, D y E. Si lo encuentra, sobrescribe dicho archivo y crea una llamada al también recién creado archivo SCRIPT.INI, que contiene las instrucciones para propagar el archivo CAIFANES.CHM en los canales de IRC a los que se conecte la víctima.

La ubicación del mIRC la deduce por medio de una consulta a la siguiente clave del registro:

HKLM\SOFTWARE\CLASSES\ChatFile\DefaultIcon\

Eso le permite localizar el archivo mirc.exe, ejecutable del mIRC. 

2. Examina la presencia en el registro de la siguiente clave:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\chm

Si no hay valor asignado (nulo), entonces procede a ejecutar su rutina de envío por correo electrónico y luego cambia el valor de nulo por 1, con lo que la próxima vez el gusano no se propagaría.

3. Luego, el gusano muestra el siguiente mensaje (falso, ya que si aparece es porque las rutinas ActiveX del virus ya se han ejecutado. Es creado con la idea que el usuario no sospeche al no visualizarse el prometido video):

VBScript
Error al mostrar el video musical permite la interacción Active X para ver el video. No se encuentra conexión a internet. Consulta tu proveedor
[     OK     ]

4. Finalmente muestra el siguiente texto en una ventana ampliada con fondo negro:


 Cuando me muera y me tengan que enterar
quiero que sea con una de tus fotografías
para que no me dé miedo estar abajo
para que no se me olvide como es tu cara
para imaginar que estoy contigo
y sentirme un poquito vivo.

Mátenme porque me muero
mátenme porque me muero
mátenme porque me muero
mátenme porque me muero
esta enfermedad es incurable
esta enfermedad ni con un valium, no.

Cuando me muera y me tengan que enterrar
quiero que sea con dulces y no con piedras
por si alguna vez me buscas
no estaré eternamente lejos
como para darte sólo flores
te guardare mil estrellas.

Mátenme porque me muero
mátenme porque me muero
mátenme porque me muero
mátenme porque me muero
esta enfermedad es incurable
esta enfermedad ni con un valium, no.

Kuasanagui inc. 07 de Marzo de 2002 

No se lleva a cabo ningún otro tipo de acción en el sistema.

El gusano es una variante del VBS/BritneyPic, que se propaga a través del correo electrónico, utilizando direcciones recolectadas de la libreta del Microsoft Outlook, y también a través de los canales de chat.

También agrega un nuevo archivo, HH.DAT, en la carpeta:

C:\WINDOWS\Application Data\Microsoft\HTML Help\hh.dat

Esta carpeta solo existe en Windows Me, donde también hay un archivo HH.DAT en esa ubicación, el cuál es creado por Windows al abrir algún archivo de ayuda.


Limpieza de un sistema infectado


Para eliminar manualmente el gusano de un sistema infectado, simplemente actualice sus antivirus, y realice un escaneo de su sistema, borrando los archivos que aparezcan infectados.

También borre los mensajes que contengan el virus, identificados según la descripción anterior.

No es necesario borrar la clave "HKEY_Local_Machine \Software \Microsoft \Windows \CurrentVersion \chm", ya que eso lo protege de una posible re-infección.


Notas


Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

VSantivirus No. 600 - 27/feb/02
VBS/BritneyPic. Otra supuesta imagen de Britney Spears
http://www.vsantivirus.com/britneypic.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS