C:\Windows\MSXchange.vbs

También genera la siguiente entrada en el registro para ejecutarse cada vez que la computadora se reinicie.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MsExchange = C:\Windows\MSXchange.vbs

La carpeta \Windows puede variar de nombre de acuerdo a la versión de Windows instalada.

Luego, crea el archivo XChange.vba en el raíz del disco C:

C:\XChange.vba

Este archivo contiene un código de macros que el virus exporta al módulo de macros de los archivos .DOC. Para infectar otros documentos de Word, el virus infecta la plantilla genérica NORMAL.DOT y luego infecta cada archivo .DOC que es abierto.

También envía un mensaje infectado con uno de los siguientes formatos:

Versión 1:

Asunto: Upgrade MS Exchange

Texto:
Run this attached file to upgrade MS Exchange.

Datos adjuntos: MSXchange.vbs

Versión 2:

Asunto: Update and upgrade MS Exchange

Texto:
Run this attached file to upgrade Ms Exchange. See you soon.

Datos adjuntos:   .vbs

El caracter antes de la extensión no es visible por lo cuál, si no se tiene habilitada la opción para ver todas las extensiones, no será visible ningún nombre de archivo.

Si se ejecuta el adjunto, el virus hace uso de rutinas MAPI (Messaging Application Programming Interface) para enviar estos mensajes infectados. Las direcciones de los destinatarios, las obtiene de la lista de contactos de Microsoft Outlook del sistema infectado, y de los archivos HTM, HTML, HTT, y ASP que encuentre en el sistema.

Infecta todos los archivos con extensiones VBS o VBE, en los directorios Windows y Windows\System. Para infectarlos, les inserta su código al principio. La primera línea de los archivos infectados contiene el siguiente texto que sirve de marca para no volver a infectar los mismos archivos:

'VBS.Xchange'

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Repare los archivos detectados como infectados

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

MsExchange         C:\Windows\MSXchange.vbs

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com