VSantivirus No. 628 - Año 6 - Miércoles 27 de marzo de 2002
VBS/Chick.B (BritneyPic2). Falso video de Los Caifanes
http://www.vsantivirus.com/britneypic-b.htm
Nombre: VBS/Chick.B (BritneyPic2, Breetnee)
Tipo: Gusano de Visual Basic Script
Plataforma: Windows 32-bit
Tamaño: 10,651 bytes
Fuentes: Central Command, NAI, Symantec, BitDefender
Alias:
VBS/Chick.b@MM
VBS.Chick.B@mm
Worm/BritneyPic.2
I-Worm.Brit.b
Caifanes
Un adjunto con extensión CHM (Compiled HTML Help, un formato de HTML compilado usado en archivos de ayuda, propietario de Microsoft), es el gusano que se propaga a través de un mensaje en español con las siguientes características:
Asunto:
RE:Nuevo video de Caifanes
Texto del mensaje:
Caifanes regresa y te muestra su nuevo video musical
Regards,
[nombre del remitente infectado]
Datos adjuntos: CAIFANES.CHM (puede tener otros nombres)
Contrariamente a los que algunos exámenes previos aseguraban, el mensaje no se envía únicamente al primer contacto de la libreta de direcciones del Outlook (utilizando las funciones MAPI), sino que lo hace a TODOS los contactos EXCEPTO aquellos que estuvieran incluidos en grupos dentro de la libreta de direcciones.
La infección comienza cuando el receptor del mensaje, abre el archivo que se envía adjunto.
Si ello ocurre, el siguiente mensaje es mostrado en pantalla:
Permite Active X para ver
el nuevo video de Caifanes
Gratis nuevo video de Caifanes !!!!
|
Al mismo tiempo, un mensaje del sistema pregunta y advierte lo siguiente:
Internet Explorer
Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?
[ Si ] [ No
]
Si se permite la ejecución de controles ActiveX (respondiendo con el botón de [ Si
], el gusano se ejecuta, copiándose a si mismo a la carpeta Windows, y luego continúa ejecutándose desde allí (el archivo .CHM contiene un script en Visual Basic que es el gusano propiamente dicho).
C:\Windows\Caifanes.chm
Las instrucciones que el script lleva a cabo son las siguientes:
1. Busca la presencia de un archivo MIRC.INI (archivo de configuración del programa cliente de chat, mIRC) en las unidades de disco
C, D y E. Si lo encuentra, sobrescribe dicho archivo y crea una llamada al también recién creado archivo
SCRIPT.INI, que contiene las instrucciones para propagar el archivo
CAIFANES.CHM en los canales de IRC a los que se conecte la víctima.
La ubicación del mIRC la deduce por medio de una consulta a la siguiente clave del registro:
HKLM\SOFTWARE\CLASSES\ChatFile\DefaultIcon\
Eso le permite localizar el archivo mirc.exe, ejecutable del mIRC.
2. Examina la presencia en el registro de la siguiente clave:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\chm
Si no hay valor asignado (nulo), entonces procede a ejecutar su rutina de envío por correo electrónico y luego cambia el valor de nulo por 1, con lo que la próxima vez el gusano no se propagaría.
3. Luego, el gusano muestra el siguiente mensaje (falso, ya que si aparece es porque las rutinas ActiveX del virus ya se han ejecutado. Es creado con la idea que el usuario no sospeche al no visualizarse el prometido video):
VBScript
Error al mostrar el video musical permite la interacción
Active X para ver el video. No se encuentra conexión a
internet. Consulta tu proveedor
[ OK ]
4. Finalmente muestra el siguiente texto en una ventana ampliada con fondo negro:
Cuando me muera y me tengan que enterar
quiero que sea con una de tus fotografías
para que no me dé miedo estar abajo
para que no se me olvide como es tu cara
para imaginar que estoy contigo
y sentirme un poquito vivo.
Mátenme porque me muero
mátenme porque me muero
mátenme porque me muero
mátenme porque me muero
esta enfermedad es incurable
esta enfermedad ni con un valium, no.
Cuando me muera y me tengan que enterrar
quiero que sea con dulces y no con piedras
por si alguna vez me buscas
no estaré eternamente lejos
como para darte sólo flores
te guardare mil estrellas.
Mátenme porque me muero
mátenme porque me muero
mátenme porque me muero
mátenme porque me muero
esta enfermedad es incurable
esta enfermedad ni con un valium, no.
Kuasanagui inc. 07 de Marzo de 2002
|
No se lleva a cabo ningún otro tipo de acción en el sistema.
El gusano es una variante del VBS/BritneyPic, que se propaga a través del correo electrónico, utilizando direcciones recolectadas de la libreta del Microsoft Outlook, y también a través de los canales de chat.
También agrega un nuevo archivo, HH.DAT, en la carpeta:
C:\WINDOWS\Application Data\Microsoft\HTML Help\hh.dat
Esta carpeta solo existe en Windows Me, donde también hay un archivo
HH.DAT en esa ubicación, el cuál es creado por Windows al abrir algún archivo de ayuda.
Limpieza de un sistema infectado
Para eliminar manualmente el gusano de un sistema infectado, simplemente actualice sus antivirus, y realice un escaneo de su sistema, borrando los archivos que aparezcan infectados.
También borre los mensajes que contengan el virus, identificados según la descripción anterior.
No es necesario borrar la clave "HKEY_Local_Machine
\Software \Microsoft \Windows \CurrentVersion \chm", ya que eso lo protege de una posible re-infección.
Notas
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Referencias:
VSantivirus No. 600 - 27/feb/02
VBS/BritneyPic. Otra supuesta imagen de Britney Spears
http://www.vsantivirus.com/britneypic.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
