Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Chick.C (Breetnee.C). Falso video de Shakira
 
VSantivirus No. 642 - Año 6 - Miércoles 10 de abril de 2002

 VBS/Chick.C (Breetnee.C). Falso video de Shakira
http://www.vsantivirus.com/chick-c.htm

Nombre: VBS/Chick.C (Breetnee.C)
Tipo: Gusano de Visual Basic Script
Fecha: 9/abr/02

Alias:
VBS.Breetnee.C
VBS/Chick.c@MM
VBS.Chick.C@mm
Worm/BritneyPic.3
I-Worm.Brit.c
Shakira

Escrito en Visual Basic Script, se propaga como un archivo CHM, un formato compilado de archivos HELP, que contiene el script (VBS) con las instrucciones para propagarse a toda la libreta de direcciones de la víctima, utilizando las funciones MAPI.

El mensaje que lo contiene posee estas características:

Asunto: ¡Nuevo video de SHAKIRA!
Texto del mensaje: (vacío)
Datos adjuntos: Shakira.chm

Cuando el adjunto es abierto (un doble clic sobre el archivo .CHM abre el visor de archivos de ayuda HTML, instalado en todas las versiones actuales de Windows con Internet Explorer), se muestra el siguiente contenido:


Permite Active X para
ver el nuevo video de
SHAKIRA

Kuasanagui inc.   

Gratis nuevo video de SHAKIRA !!!!

ANTOLOGIA

 Para amarte necesito una razón
y es difícil creer que no exista
una mas que este amor.

Sobra tanto dentro de este corazón
que a pesar de que dicen
que los años son sabios
todavía se siente el dolor.

Porque todo el tiempo que pase junto a ti
dejo tejido su hilo dentro de mí.

Y aprendí a quitarle al tiempo los segundos
tu me hiciste ver el cielo aun más profundo
junto a ti creo que aumente mas de tres kilos
con tus tantos dulces besos repartidos.
Desarrollaste mi sentido del olfato
y fue por ti que aprendí a querer los gatos
despegaste del cemento mis zapatos
para escapar los dos volando un rato.

Pero olvidaste una final instrucción
porque aun no se como vivir sin tu amor.

Y descubrí lo que significa una rosa
me enseñaste a decir mentiras piadosas
para poder verte a horas no adecuadas
y a remplazar palabras por miradas.
Y fue por ti que escribí mas de cien canciones
y hasta perdone tus equivocaciones
y conocí mas de mil formas de besar
y fue por ti que descubrí lo que es amar
lo que es amar.

[Shakira Mebarak]

Kuasanagui inc. 09 de Abril de 2002
                                  

Al mismo tiempo, un mensaje de advertencia del Internet Explorer se abre sobre ella, con el siguiente texto:

Internet Explorer

Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?

[    Si    ] [    No    ]

Obviamente, no debemos pulsar en el botón [ Si ] porque habilitaríamos el código del virus. En este punto, el gusano aún es inofensivo, pudiendo ser borrado (junto al mensaje que lo contenía).

Si usted pulsa en [ Si ], el gusano infecta el sistema, realizando estas acciones:

Se copia a si mismo en el directorio \Windows:

C:\Windows\Shakira.chm

Se propaga vía e-mail utilizando las funciones MAPI del Outlook, y a través de los canales de IRC si está instalado el cliente mIRC.

Para localizar el mIRC, el gusano realiza una búsqueda en el disco del archivo MIRC.INI o MIRC32.EXE a través de su ubicación en la siguiente clave del registro (si no encuentra MIRC.INI):

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\ChatFile\DefaultIcon

Si el mIRC es encontrado, el gusano crea un archivo SCRIPT.INI en el mismo directorio del programa. Este script contiene las instrucciones para enviar el propio gusano a otros usuarios conectados a los canales de IRC que se conecte la víctima infectada.

También envía un mensaje infectado (sólo uno), con las características vista arriba, a través del Outlook, al primer contacto de la tercera lista de direcciones, por lo que falla en sistemas con menos de tres listas.

El cuerpo del mensaje queda vacío, debido a un error en el código del gusano.

También se modifica la siguiente entrada del registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
chm = "1"

El gusano examina la presencia de esa entrada cada vez que se ejecuta, y no se envía nuevamente siempre que el valor "CHM" exista y valga "1".

De este modo, el gusano tiene probabilidad de enviarse una sola vez por cada usuario infectado.

Finalmente, luego de las acciones descriptas, el gusano muestra esta serie de ventanas de mensajes:

VBScipt: I-Worm.Brit.C

Error al mostrar el video musical
permite la interacción Active X para ver el video.
No se encuentra conexión a internet
Consulta tu proveedor

[     OK     ]



VBScipt: I-Worm.Brit.C

Creado en México por Kuasanagui
<<<<     I-Worm.Brit.C     >>>>

 [     OK     ]



VBScipt: I-Worm.Brit.C

Shakira... Kuasanagui te ama =P
Aunque me gustas más con cabello negro.

 [     OK     ]



VBScipt: I-Worm.Brit.C

¿No conoces a Shakira?
¡Compra sus discos!
Piez Descalzos
¿Donde estan los ladrones?
Servicio de Lavanderia

 [     OK     ]



VBScipt: I-Worm.Brit.C

Dedicado a Sandra Montejo Pérez

 [     OK     ]

Limpieza de un sistema infectado

Para limpiar un sistema infectado, ejecute uno o dos antivirus actualizados, y borre los archivos que aparezcan infectados por el gusano (generalmente este archivo es C:\Windows\Shakira.chm).

Borre de la base de mensajes, todos aquellos similares al descripto en este artículo.

Ninguna otra acción es requerida (la modificación del registro hecha por el gusano es conveniente conservarla, ya que hace la veces de vacuna).

Notas

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS