Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Chick.E. Bill Gates otra vez es el gancho
 
VSantivirus No. 683 - Año 6 - Martes 21 de mayo de 2002

VBS/Chick.E. Bill Gates otra vez es el gancho
http://www.vsantivirus.com/chick-e.htm

Nombre: VBS/Chick.E
Tipo: Gusano de Visual Basic Script
Alias: VBS.Breetnee.E, VBS/Chick.e@MM, VBS.Chick.E@mm, I-Worm.Brit.e, Worm/Brit.E, Worm/BritneyPic.E
Fecha: 20/may/02

Es una nueva variante del BritneyPic, y también es capaz de propagarse a través del correo electrónico y de los canales de chat (IRC). Utiliza como "gancho" un archivo adjunto, conteniendo supuesta información sobre Bill Gates.

Escrito en Visual Basic Script, aparece como un archivo CHM, un formato compilado de archivos HELP, que contiene el script (VBS) con las instrucciones para propagarse, utilizando las funciones MAPI.

El gusano se envía a través del correo electrónico, seleccionando como destinatario, la primera entrada en la libreta de direcciones. Mediante marcas creadas en el registro, el gusano se envía una sola vez, aún cuando vuelva a infectar la misma computadora en el futuro (si no se reinstaló Windows).

El mensaje enviado (igual al recibido) tiene estas características:

Asunto: FWD : "Nuevo Mp3 de Bill gates!"

Texto:

Hola
He escuchado la cancion de Bill gates
y me dio mucha risa.
es mejor que se quede con la informatica
porque con la musica ni por el putas
Escuchala para que tu tambien compartas este sentimiento.
Disfrutalo.

Datos adjuntos: Iloveyoulaura.chm

Cuando el usuario ejecuta este adjunto, se crean uno o dos archivos (dependiendo exista el cliente mIRC en la máquina atacada o no).

Si existe, se generan los archivos Iloveyoulaura.chm y Script.ini. Si no hay cliente de IRC, el segundo archivo no se crea.

Los siguientes cambios son hechos en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion
Chm = "1"

Para propagarse a través del IRC (Internet Relay Chat), el gusano crea un archivo SCRIPT.INI, donde coloca los comandos para enviarse a otros usuarios conectados al mismo canal donde se conecte la víctima.

Cuando el usuario ejecuta el archivo .CHM por primera vez, una advertencia de Windows es desplegada:

Internet Explorer

Un control ActiveX de esta página podría no ser seguro
al interactuar con otras partes de la página. ¿Desea
permitir esta interacción?

[    Si    ] [    No    ]

Seleccionando [ No ], el gusano no se ejecutará, ni afectará ningún archivo de la computadora infectada.

Si la respuesta fue [ Si ], el gusano busca la presencia del archivo MIRC.INI, usado para la configuración del programa cliente de chat, mIRC.

El gusano también se copia con el nombre de Iloveyoulaura.chm en el directorio de Windows.

C:\Windows\Iloveyoulaura.chm

El primer mensaje mostrado en el visor de archivos de ayuda HTML, instalado en todas las versiones actuales de Windows con Internet Explorer, muestra la siguiente leyenda bajo un fondo negro:

Debes permitir el Active X para escuchar el MP3 del Bill Gates

Bill Gates deja la informática y entra al mundo de la música!!!
Escucha su canción aquí

El primer mensaje mostrado en el visor de archivos de ayuda HTML, instalado en todas las versiones actuales de Windows con Internet Explorer, muestra la siguiente leyenda

Luego muestra una serie de ventanas, todas con el título "VBScript: iloveYoulAura (r)" y el botón [ Aceptar ]:

1.
Lashuellasdelpasado.mp3
Debes permitir la interacción
Active X para escuchar la canción.
Vuelve a intentarlo

2.
18 de Mayo, Ke grAn feCha, pero tú
no lo entiendes
~Kedate con ese hijo de pUta Jairito,y
busca en el lo que no encontraste en mi

3.
Otra De mIs loKuras por Vos, No imPOrt@
est@ es la ultimA, Trankila

4.
...::: DedikAdo A ella, Laura Alzate Zapata:::...
Aunque Ya No me kieras, Tu si eStas En un Rincon De mi koraZon
By : ZteB@N and Kuasanagui Korp 2002 (c)
Ese Mansito Que te Kizo Tanto

5.
Gracias Kuasanagui, gracias por todo

Finalmente muestra una ventana del visor de ayudas, con algún texto y la foto de una pareja, en una ventana de la ayuda de Windows, bajo el título "HTML Help":

18 de Mayo ke Gran Fecha

Porque hoy hace un año eras mi Todo,
y Eso FuE Lo Mejor!!

[etc...]

Finalmente muestra una ventana del visor de ayudas, con algún texto y la foto de una pareja


Limpieza de un sistema infectado

Para limpiar un sistema infectado, ejecute uno o dos antivirus actualizados, y borre los archivos que aparezcan infectados por el gusano.

Si ha recibido el gusano a través del correo electrónico o de un canal de IRC, elimine el mensaje de la bandeja de entrada y de la bandeja de elementos eliminados.

Ninguna otra acción es requerida (la modificación del registro hecha por el gusano es conveniente conservarla, ya que hace la veces de vacuna).

Notas

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS