Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/BritneyPic. Otra supuesta imagen de Britney Spears
 
VSantivirus No. 600 - Año 6 - Miércoles 27 de febrero de 2002

 VBS/BritneyPic. Otra supuesta imagen de Britney Spears
http://www.vsantivirus.com/britneypic.htm

Nombre: VBS/BritneyPic
Tipo: Gusano de Visual Basic Script
Alias: VBS/BritneyPic@MM, Worm/BritneyPic, VBS.Breetnee, VBS/BritneyPic.ini
Tamaño: 10,623 bytes
Fecha: 26/feb/02
Fuente: McAfee, Central Command

Un gusano en Visual Basic Script, comprimido en el formato CHM, un formato compilado de archivos HELP, que contiene el script (VBS) con las instrucciones para propagarse a toda la libreta de direcciones de la víctima, utilizando las funciones MAPI.

También puede propagarse a través de los canales de IRC, utilizando el programa mIRC.

El mensaje que reenvía el gusano tiene estas características:

Asunto: RE: Britney Pics

Texto:
Take a look at these pics ...
Regards, 
[nombre del remitente] 

Datos adjuntos: Britney.chm (puede tener otros nombres)

Si el usuario ejecuta el archivo .CHM (doble clic sobre él), el gusano se copia a si mismo en el directorio de Windows:

C:\Windows\Britney.chm

Luego modifica o crea la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\chm

Si el valor para CHM no es 1, el gusano procede a enviarse a todos los contactos de la libreta de direcciones del Outlook. Luego del proceso, pone el valor a 1. Eso impide que el gusano se vuelva a propagar desde esa máquina.

Además, se abre una ventana de fondo negro y grandes letras verdes con el texto:


Enable ActiveX To
See Britny
Pictures

Free Britney Pics !!!!

Loading........                                                                     

Al mismo tiempo, un mensaje de advertencia del Internet Explorer se abre sobre ella, con el siguiente texto:

Internet Explorer

Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?

[    Si    ] [    No    ]

Obviamente, no debemos pulsar en el botón [ Si ] porque habilitaríamos el código del virus. En este punto, el gusano aún es inofensivo, pudiendo ser borrado (junto al mensaje que lo contenía).

Si usted pulsa en [ Si ], el gusano infecta el sistema, realizando estas acciones:

Se busca en las unidades de disco C, D y E (o las que existan), un archivo SCRIPT.INI, correspondiente al cliente de chat mIRC.

Si lo encuentra, el gusano sobrescribe ese archivo y genera uno con las instrucciones para reenviarse a si mismo a los usuarios que comparten el mismo canal de la víctima. El archivo enviado es Britney.chm de la carpeta Windows.

Limpieza de un sistema infectado

Para limpiar un sistema infectado, ejecute uno o dos antivirus actualizados, y borre los archivos que aparezcan infectados por el gusano VBS/BritneyPic, VBS/BritneyPic@MM, Worm/BritneyPic, etc. (generalmente este archivo es C:\Windows\Britney.chm).

Borre de la base de mensajes, todos aquellos similares al descripto antes.

Ninguna otra acción es requerida (la modificación del registro hecha por el gusano es conveniente conservarla, ya que hace la veces de vacuna).

Notas

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS