| |
VSantivirus No. 625 - Año 6 - Domingo 24 de marzo de 2002
VBS/Doublet. Mensajes con adjuntos de nombres extraños
http://www.vsantivirus.com/doublet.htm
Nombre: VBS/Doublet
Tipo: Gusano de Internet
Alias: VBS/Generic
Fecha: 19/mar/02
Tamaño: 6 Kb aprox.
Fuente: Central Command
VBS/Doublet es un gusano de Internet que se propaga a través del correo electrónico enviándose a la lista de contactos obtenida de la libreta de direcciones del Microsoft Outlook en la máquina infectada.
Parece ser parte de un infector de macros, aunque lo único que hace al respecto es bajar el nivel de seguridad de Word.
El gusano llega a nuestro PC en un mensaje con estas características:
Asunto: <caracteres al azar.vbs> for you
Texto:
Hi <destinatario>,
Look at this attached found on the net.
See you soon
Datos adjuntos: (igual al nombre que aparece en el asunto)
El nombre del adjunto es una serie de caracteres seleccionados al azar, por ejemplo:
GHTRDER.vbs
Cuando el adjunto es abierto con un doble clic sobre el clip, el gusano toma el control y copia su propio código a la carpeta de Windows con el nombre
DOUBLET.VBS:
C:\Windows\doublet.vbs
También crea un archivo DOUBLET.SYS en el raiz del disco duro:
C:\Doublet.sys
Luego procede a buscar archivos .VBS en el disco y los infecta. También baja el nivel de seguridad en la configuración de macros del Microsoft Word.
Si el día actual es 10, muestra el siguiente mensaje:
W97M/VBS.Doublet. Hahahahahaha.....
Reparación manual
Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Repare los archivos detectados como infectados por VBS/Doublet (no funciona en todos los casos).
4. Reinicie su PC en modo normal y vuelva a realizar un escaneo con sus antivirus.
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Notas
a. Cuando decimos usar más de un antivirus debemos tener en cuenta dos cosas. Una, que JAMAS debemos tener más de uno monitoreando en segundo plano. Solo usamos más de uno para una revisación (escaneo) normal por demanda (uno a la vez). Y segundo, que debemos desactivar momentáneamente todo proceso de monitoreo en segundo plano cada vez que procedemos a escanear un equipo. En todos los casos, si su PC está conectado a una red, desconéctelo físicamente de la misma hasta haber realizado el proceso de escaneo en todas las máquinas.
b. Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
