| |
VSantivirus No. 699 - Año 6 - Jueves 6 de junio de 2002
VBS/Chick.F (WorldCup). Simula los resultados del Mundial
http://www.vsantivirus.com/chick-f.htm
Nombre: VBS/Chick.F
Tipo: Gusano de Visual Basic Script
Alias: WorldCup, VBS/Chick.f@MM, VBS.Chick.F@mm, I-Worm.Brit.f, Worm/Brit.F, Worm/BritneyPic.F, VBS.Breetnee.F, Vbs.KoreaJapan@mm, Win32/WorldCup@mm
Fecha: 5/jun/02
Tamaño: 12,170 bytes
Fuente: Panda
Construido con la misma técnica del BritneyPic, este gusano utiliza como gancho para propagarse, el actual Campeonato Mundial de Fútbol Corea-Japón 2002, simulando ser un archivo conteniendo los resultados de los partidos.
Es capaz de enviarse a través del correo electrónico y de los canales de chat (IRC).
Escrito en Visual Basic Script, aparece como un archivo CHM, un formato compilado de archivos HELP, que contiene el script (VBS) con las instrucciones para propagarse, utilizando las funciones MAPI.
El gusano se envía a través del correo electrónico, seleccionando como destinatario, la primera entrada en la libreta de direcciones. Mediante marcas creadas en el registro, el gusano se envía una sola vez, aún cuando vuelva a infectar la misma computadora en el futuro (si no se reinstaló Windows).
El mensaje enviado (igual al recibido) tiene estas características:
Asunto: RE: Korea Japan Results
Texto:
Take a look at these results...
Regards
Datos adjuntos: Koreajapan.chm
Cuando el usuario ejecuta este adjunto, se crean uno o dos archivos (dependiendo exista el cliente mIRC en la máquina atacada o no).
Si existe, se generan los archivos KOREAJAPAN.CHM y
SCRIPT.INI. Si no hay cliente de IRC, el segundo archivo no se crea.
Los siguientes cambios son hechos en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion
Chm = "1"
Para propagarse a través del IRC (Internet Relay Chat), el gusano crea un archivo
SCRIPT.INI, donde coloca los comandos para enviarse a otros usuarios conectados al mismo canal donde se conecte la víctima.
Cuando el usuario ejecuta el archivo .CHM por primera vez, una advertencia de Windows es desplegada:
Internet Explorer
Un control ActiveX de esta página podría no ser seguro
al interactuar con otras partes de la página. ¿Desea
permitir esta interacción?
[ Si ] [
No ]
Seleccionando [ No ], el gusano no se ejecutará, ni afectará ningún archivo de la computadora infectada.
Si la respuesta fue [ Si ], el gusano busca la presencia del archivo
MIRC.INI, usado para la configuración del programa cliente de chat,
mIRC.
El gusano también se copia con el nombre de KOREAJAPAN.CHM en el directorio de Windows.
C:\Windows\Koreajapan.chm
El primer mensaje mostrado en el visor de archivos de ayuda HTML, instalado en todas las versiones actuales de Windows con Internet Explorer, muestra la siguiente leyenda bajo un fondo negro:
Enable ActiveX To See Korea Japan results
_________________________________________
Korea Japan results
Loading........
Limpieza de un sistema infectado
Para limpiar un sistema infectado, ejecute uno o dos antivirus actualizados, y borre los archivos que aparezcan infectados por el gusano.
Si ha recibido el gusano a través del correo electrónico o de un canal de IRC, elimine el mensaje de la bandeja de entrada y de la bandeja de elementos eliminados.
Ninguna otra acción es requerida (la modificación del registro hecha por el gusano es conveniente conservarla, ya que hace la veces de vacuna).
Notas
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como
"send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la configuración de
"DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones
.VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y
.SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Modificado:
07/jun/02 - Agregado alias Vbs.KoreaJapan@mm, Win32/WorldCup@mm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
