Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Chick.G (¡Nuevo Fondo de Amidala - Star Wars II !)
 
VSantivirus No. 708 - Año 6 - Sábado 15 de junio de 2002

VBS/Chick.G (¡Nuevo Fondo de Amidala - Star Wars II !)
http://www.vsantivirus.com/chick-g.htm

Nombre: VBS/Chick.G
Tipo: Gusano de Visual Basic Script
Alias: Amidala, VBS/Chick.g@MM, VBS.Chick.G@mm, Worm/Brit.G, I-Worm.Brit.g, Worm/BritneyPic.G, VBS.Breetnee.G
Fecha: 14/jun/02
Tamaño: 12 Kb aprox.

Construido con la misma técnica del BritneyPic, este gusano se propaga en un mensaje en español, simulando ser un fondo para el escritorio, de la popular serie cinematográfica Star War.

Sus mensajes, solo se reproducen correctamente en un Windows cuyo idioma sea el español.

Es capaz de enviarse a través del correo electrónico y de los canales de chat (IRC).

Escrito en Visual Basic Script, aparece como un archivo CHM, un formato compilado de archivos HELP, que contiene el script (VBS) con las instrucciones para propagarse, utilizando las funciones MAPI.

El gusano se envía a través del correo electrónico, seleccionando como destinatario, la primera entrada en la libreta de direcciones. Mediante marcas creadas en el registro, el gusano se envía una sola vez, aún cuando vuelva a infectar la misma computadora en el futuro (si no se reinstaló Windows).

El mensaje enviado (igual al recibido) tiene estas características:

Asunto: ¡Nuevo Fondo de Amidala - Star Wars II !

Texto:
Que tal?
Si te gusta la nueva Star Wars mira este archivo
Es un fondo de Amidala
Es increible la calidad que tiene,
ya me contaras que te parece
[Nombre del remitente]

Datos adjuntos: Amidala.chm

Cuando el usuario ejecuta el adjunto, se abre el visor de archivos de ayuda HTML, instalado en todas las versiones actuales de Windows con Internet Explorer. Al mismo tiempo, una advertencia de Windows es desplegada: 

Internet Explorer 

Un control ActiveX de esta página podría no ser seguro
al interactuar con otras partes de la página. ¿Desea
permitir esta interacción?

[    Si    ] [    No    ]

Seleccionando [ No ], el gusano no se ejecutará, ni afectará ningún archivo de la computadora infectada.

Si la respuesta es [ Si ], el gusano se ejecuta, busca la presencia del archivo MIRC.INI, usado para la configuración del programa cliente de chat, mIRC y se crean uno o dos archivos (dependiendo exista el cliente mIRC en la máquina atacada o no).

Si existe, se generan los archivos AMIDALA.CHM y SCRIPT.INI. Si no hay cliente de IRC, el segundo archivo no se crea.

AMIDALA.CHM se crea en el directorio de Windows:

C:\Windows\amidala.chm

Luego procede a propagarse a través del correo electrónico como se explicó al comienzo.

Los siguientes cambios son hechos en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion
Chm = "1"

Si existe el mIRC, el gusano crea el archivo SCRIPT.INI, donde coloca los comandos para enviarse a otros usuarios conectados al mismo canal donde se conecte la víctima.


Limpieza de un sistema infectado

Para limpiar un sistema infectado, ejecute uno o dos antivirus actualizados, y borre los archivos que aparezcan infectados por el gusano.

Si ha recibido el gusano a través del correo electrónico o de un canal de IRC, elimine el mensaje de la bandeja de entrada y de la bandeja de elementos eliminados.

Ninguna otra acción es requerida (la modificación del registro hecha por el gusano es conveniente conservarla, ya que hace la veces de vacuna).


Notas

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS