Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/LoveLet-AS (VBS/Plan) - Plan Colombia
 
Sábado 4 de noviembre de 2000

Nombre: VBS/LoveLet-AS
Tipo: Gusano de VBScript
Alias: VBS_LoveLettr.AS, LOVELETTR.AS, LOVELETTER.AS, VBS_COLOMBIA, COLOMBIA, PRESIDENT AND FBI SECRETS, PLAN COLOMBIA, VBS.Plan, VBS.President.Worm, VBS/Columbia, VBS.LoveLetter.AS, VBS.LoveLetter.BJ, I-Worm.Plan
Tamaño: 14 Kb
Destructivo: Si

Se trata de un destructivo virus escrito en Visual Basic Script (VBS), variante del ILOVEYOU o LOVELETTER, que se propaga vía Outlook. Una vez ejecutado, se envía a si mismo adjunto a un mensaje a todos los contactos de la libreta de direcciones de Windows.

Si la fecha del sistema es 7 de noviembre, el virus remueve todas las unidades conectadas a la red del sistema.

Una vez ejecutado, el gusano crea tres copias de si mismo, las dos primeras en:

C:Windows\System\LINUX32.vbs
C:\Windows\reload.vbs

Y la tercera con un nombre al azar, y una de las siguientes extensiones, en el directorio C:\Windows: .GIF.vbs, .JPG.vbs o .BMP.vbs.

También crea las siguientes claves en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LINUX32 = "LINUX32.vbs"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Reload = "reload.vbs"

HKCU\Software\Microsoft\Internet Explorer
Download Directory = "c:\"

Como otros virus de la serie LoveLetter, busca la existencia del archivo: "C:\Windows\System\WinFAT32.exe", y basado en un número al azar, intenta bajar del sitio (ya no está activo) http://members.fortunecity.com/plancolombia el archivo "macromedia32.zip", "linux321.zip" o "linux322.zip".

Después de bajar uno de estos archivos, el virus copia "linux321.zip" o "linux322.zip" como "logos.sys" y "logow.sys", cambiando las pantallas de inicio y de cierre de Windows (ambos archivos en realidad son imágenes, y no archivos comprimidos).

Además, el archivo "macromedia32.zip" (tampoco es un .ZIP), es copiado como "Windows\important_note.txt" y es modificado el registro de la siguiente forma:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
plan columbia = "important_note.txt"

El virus crea un archivo HTM en:

c:\Windows\System\US-PRESIDENT-AND-FBI-SECRETS.HTM

Este archivo contiene el virus (VBScript) en el tag <script>.

El virus se propaga vía correo electrónico, en un adjunto. Se envía a si mismo a todos los contactos de la libreta de direcciones. El ASUNTO y el CUERPO del mensaje puede cambiar aleatoriamente. El adjunto contiene el virus. Esta es una de las variantes que puede tomar:

Asunto:
US PRESIDENT AND FBI SECRETS =PLEASE VISIT =>(http://WWW.2600.COM)<=

Cuerpo:
VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES..

Adjunto:
(NOMBRE_AL_AZAR.EXTENSION).vbs

El asunto o el cuerpo (o ambos), pueden contener solo una cadena de caracteres en mayúsculas. El largo de esta cadena es de 6 caracteres, y el largo del cuerpo al azar es de 10 caracteres.

El nombre del archivo adjunto, también es generado al azar, con un largo de 4 a 8 caracteres. La extensión del mismo es tomada al azar de estas variantes:

.GIF.vbs
.BMP.vbs
.JPG.vbs

Una vez ejecutado, el virus busca los archivos .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, .JPG, y .JPEG y los sobreescribe con su propio código. También cambia las extensiones JPG y JPEG por .VBS.

Cuando encuentra archivos .MP3 y .MP2, los oculta cambiando sus atributos a ocultos (+H). 

Para eliminarlo en forma manual

Borre los archivos creados por el gusano o el trojan. Siga estos pasos para hacerlo.

1. Pinche en Inicio, Buscar, Archivos o carpetas.

2. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

3. En la casilla "Nombre" escriba (o "corte y pegue") los siguientes nombres (repita este paso un archivo por vez si no desea confundirse, pinchando en "Nueva Búsqueda" cada vez luego de la primera):

LINUX32.vbs
reload.vbs
important_note.txt
US-PRESIDENT-AND-FBI-SECRETS.HTM

4. Pinche en "Buscar ahora". Windows buscará todas las copias de este archivo en la unidad C:

5. Si aparece en la ubicación siguiente, márquelos (recuerde, repita los pasos 3 y 4 una vez por cada archivo sino desea confundirse):

c:\Windows\System\LINUX32.vbs
c:\Windows\reload.vbs
c:\Windows\important_note.txt
c:\Windows\System\US-PRESIDENT-AND-FBI-SECRETS.HTM

6. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.

7. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

Remover las entradas del registro

Siga estos pasos para remover estas entradas (ATENCION, proceda con cuidado cada vez que haga modificaciones en el registro de Windows):

1. Salga de todos los programas.

2. Vaya a Inicio, Ejecutar.

3. Teclee REGEDIT y pulse Enter.

4. En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

5. Pulse sobre la carpeta "Run".

Si en la ventana de la derecha aparecen estos valores: 

LINUX32
plan columbia

6. Borre la clave completa (marque el nombre "LINUX32" y pulse DELETE o SUPR, haga lo mismo con "plan columbia").

7. Conteste que SI a la pregunta de confirmación en cada caso.

8. En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

9. Pulse sobre la carpeta "RunServices".

Si en la ventana de la derecha aparece este valor:

reload

10. Borre la clave completa (marque el nombre "reload" y pulse DELETE o SUPR).

11. Salga del editor del registro (Registro, Salir).

12. Vaya a Inicio, Apagar el sistema. Seleccione "Reiniciar" y OK.

13. Revise su PC con un antivirus al día.

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Ver también:

 12/dic/00 - VBS/LoveLet-CA. Variante del "Colombia"
13/mar/02 - VBS/LoveLet.DO. Otra variante del "Colombia"


Modificaciones:
13/mar/02 - Descripción basada en datos de Trend Micro y F-Secure.
02/set/02 - Alias: VBS.Plan, VBS.President.Worm, VBS/Columbia
02/set/02 - Alias: VBS.LoveLetter.AS, VBS.LoveLetter.BJ, I-Worm.Plan




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS