Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Corica. Datos adjuntos: Microsoft.vbs
 
VSantivirus No. 809 - Año 6 - Miércoles 25 de setiembre 2002

VBS/Corica. Datos adjuntos: Microsoft.vbs
http://www.vsantivirus.com/corica.htm

Nombre: VBS/Corica
Tipo: Gusano de Visual Basic Script
Alias: VBS/Corica@MM, CostaRica, VBS_CORICA.A
Fecha: 24/set/02
Tamaño: 4,286 bytes
Plataformas: Windows 32-bits

Este gusano se propaga en un correo electrónico con alguna de las siguientes características:

Versión 1:

Asunto: Hola.
Texto: Aquí te mando un anexo muy importante que lo abras.
Datos adjuntos: Microsoft.vbs

Versión 2:

Asunto: Hi
Texto: Please open the attachment is very important.
Datos adjuntos: Microsoft.vbs

La extensión .VBS no es visible en una configuración por defecto de Windows.

Cuando se ejecuta, MICROSOFT.VBS es copiado en la carpeta de Windows:

C:\Windows\Microsoft.vbs

También se crea este otro archivo:

C:\Windows\Microsoft.txt

MICROSOFT.TXT es un archivo de texto conteniendo una serie de puntos y barras:

. . . . . . _ . . . . . _ . . _ . . . . . . _ 
. _ . . . _ . . . _ . . . . . . . _ . . . . . 
_ . . _ . . . . . . _ . _ . . . _ . . . _ .

Además, se crea un enlace en el escritorio o en el directorio actual con el nombre MICROSOFT.LNK. Este enlace apunta al archivo del gusano (C:\Windows\Microsoft.vbs) o en ocasiones a C:\Windows\Microsoft.txt.

También modifica las siguientes claves del registro:

HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command
(Predeterminado) =
"C:\Windows\Notepad.exe %c:\Windows\Microsoft.txt"

Esto despliega el archivo de texto mencionado antes, cada vez que se intente editar un archivo .VBS (Visual Basic Script), en el bloc de notas.

El gusano cambia la página de inicio del Internet Explorer mediante la siguiente modificación en el registro:

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = 
"http://www.latinguia.com/buscar/...format=long&x=47&y=10"

También modifica la siguiente rama del registro:

HKEY_CURRENT_USER\AutoSetup\Land
"Costa Rica"

Finalmente, el gusano puede cambiar la configuración del papel tapiz del escritorio de Windows, mediante los siguientes cambios en el registro:

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Desktop\General

Wallpaper = C:\WINDOWS\Application Data\Microsoft \Internet Explorer\Wallpapr.htt

El archivo WALLPAPR.HTT es creado por el gusano, y contiene el siguiente texto:

Viva Costa Rica!

De este modo, dicho mensaje queda como fondo del escritorio.

Cuando se ejecuta nuevamente, el gusano vuelve a enviarse en mensajes similares, a toda la libreta de direcciones del Outlook y Outlook Express.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrar los archivos creados por el gusano.

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en 'Buscar en:' la unidad 'C:', y de tener seleccionada la opción 'Incluir subcarpetas'

3. En 'Nombre' ingrese (o corte y pegue), lo siguiente:

Microsoft.vbs, Microsoft.lnk, Microsoft.txt, Wallpapr.htt

4. Haga clic en 'Buscar ahora' y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione Todos los archivos y carpetas

3. En 'Todo o parte del nombre' ingrese (o corte y pegue), lo siguiente:

Microsoft.vbs, Microsoft.lnk, Microsoft.txt, Wallpapr.htt

4. Verifique que en 'Buscar en:' esté seleccionado 'C:'

5. Pinche en 'Opciones avanzadas'

6. Seleccione 'Buscar en carpetas del sistema'

7. Seleccione 'Buscar en subcarpetas'

8. Haga clic en 'Buscar ahora' y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

Borre también los mensajes electrónicos similares a los descriptos antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main

3. Pinche en la carpeta "Main" y en el panel de la derecha busque la entrada "Start Page" y cambie "http://www.latinguia.com...." por "about:blank".

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\VBSFile
\Shell
\Edit
\Command

5. Pinche en la carpeta "Command" y en el panel de la derecha busque la entrada "(Predeterminado)" y cambie "C:\Windows\Notepad.exe %c:\Windows\Microsoft.txt" por "C:\WINDOWS\Notepad.exe %1".

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Internet Explorer
\Desktop
\General

7. Pinche en la carpeta "General" y en el panel de la derecha busque y borre la entrada "Wallpaper".

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\AutoSetup

9. Pinche en la carpeta "AutoSetup" y bórrela.

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Pinche en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Pinche en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

7. Pinche en "Aceptar".


Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS