|
VSantivirus No. 708 - Año 6 - Sábado 15 de junio de 2002
VBS/Chick.G (¡Nuevo Fondo de Amidala - Star Wars II !)
http://www.vsantivirus.com/chick-g.htm
Nombre: VBS/Chick.G
Tipo: Gusano de Visual Basic Script
Alias: Amidala, VBS/Chick.g@MM, VBS.Chick.G@mm, Worm/Brit.G, I-Worm.Brit.g, Worm/BritneyPic.G, VBS.Breetnee.G
Fecha: 14/jun/02
Tamaño: 12 Kb aprox.
Construido con la misma técnica del BritneyPic, este gusano se propaga en un mensaje en español, simulando ser un fondo para el escritorio, de la popular serie cinematográfica Star War.
Sus mensajes, solo se reproducen correctamente en un Windows cuyo idioma sea el español.
Es capaz de enviarse a través del correo electrónico y de los canales de chat (IRC).
Escrito en Visual Basic Script, aparece como un archivo CHM, un formato compilado de archivos HELP, que contiene el script
(VBS) con las instrucciones para propagarse, utilizando las funciones MAPI.
El gusano se envía a través del correo electrónico, seleccionando como destinatario, la primera entrada en la libreta de direcciones. Mediante marcas creadas en el registro, el gusano se envía una sola vez, aún cuando vuelva a infectar la misma computadora en el futuro (si no se reinstaló Windows).
El mensaje enviado (igual al recibido) tiene estas características:
Asunto: ¡Nuevo Fondo de Amidala - Star Wars II !
Texto:
Que tal?
Si te gusta la nueva Star Wars mira este archivo
Es un fondo de Amidala
Es increible la calidad que tiene,
ya me contaras que te parece
[Nombre del remitente]
Datos adjuntos: Amidala.chm
Cuando el usuario ejecuta el adjunto, se abre el visor de archivos de ayuda HTML, instalado en todas las versiones actuales de Windows con Internet Explorer. Al mismo tiempo, una advertencia de Windows es desplegada:
Internet Explorer
Un control ActiveX de esta página podría no ser seguro
al interactuar con otras partes de la página. ¿Desea
permitir esta interacción?
[ Si ] [ No
]
Seleccionando [ No ], el gusano no se ejecutará, ni afectará ningún archivo de la computadora infectada.
Si la respuesta es [ Si ], el gusano se ejecuta, busca la presencia del archivo
MIRC.INI, usado para la configuración del programa cliente de chat, mIRC y se crean uno o dos archivos (dependiendo exista el cliente mIRC en la máquina atacada o no).
Si existe, se generan los archivos AMIDALA.CHM y
SCRIPT.INI. Si no hay cliente de IRC, el segundo archivo no se crea.
AMIDALA.CHM se crea en el directorio de Windows:
C:\Windows\amidala.chm
Luego procede a propagarse a través del correo electrónico como se explicó al comienzo.
Los siguientes cambios son hechos en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion
Chm = "1"
Si existe el mIRC, el gusano crea el archivo
SCRIPT.INI, donde coloca los comandos para enviarse a otros usuarios conectados al mismo canal donde se conecte la víctima.
Limpieza de un sistema infectado
Para limpiar un sistema infectado, ejecute uno o dos antivirus actualizados, y borre los archivos que aparezcan infectados por el gusano.
Si ha recibido el gusano a través del correo electrónico o de un canal de IRC, elimine el mensaje de la bandeja de entrada y de la bandeja de elementos eliminados.
Ninguna otra acción es requerida (la modificación del registro hecha por el gusano es conveniente conservarla, ya que hace la veces de vacuna).
Notas
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como
"send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la configuración de
"DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|