Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Ednav.A. Asunto: System Administrator Notification
 
VSantivirus No. 775 - Año 6 - Jueves 22 de agosto de 2002

VBS/Ednav.A. Asunto: System Administrator Notification
http://www.vsantivirus.com/ednav-a.htm

Nombre: VBS/Ednav.A
Tipo: Gusano de Visual Basic Script
Alias: VBS_EDNAV.A, EDNAV
Fecha: 22/ago/02
Plataforma: Windows 32-bits
Tamaño: 3,708 bytes

Es un destructivo gusano escrito en Visual Basic Script, que puede borrar todos los archivos del escritorio de Windows en determinadas fechas.

Se propaga infectando archivos .VBS y enviando copias de si mismo a través del correo electrónico, en mensajes como el siguiente:

Asunto: System Administrator Notification

Texto:

Due to the recent problems with the email server, we have devised a program that will fix it up. You are requested to download the attached file and execute it at once. The whole setup will take 5 to 10 minutes. If your system crashes, just restart your computer and everything will be back to normal.

Please follow instructions carefully.

System Administrator
Network Management.

Datos adjuntos: [archivo .VBS]

El adjunto puede tener cualquier nombre. Para el envío utiliza el Microsoft Outlook y Outlook Express.

Cuando se ejecuta, el gusano encripta de inmediato todos los archivos .VBS localizados en la carpeta C:\Windows\Samples\WSH. Esta carpeta contiene ejemplos de archivos de comandos usados por la utilidad Windows Script Host, un poderoso lenguaje que permite la ejecución de scripts. Sin embargo, la mayoría de los usuarios no utiliza este tipo de archivos para su uso personal.

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).

El gusano posee su propia rutina de encriptación y desencriptación, la que es copiada en todos los archivos infectados.

Si la fecha actual del sistema es 1, 30 o 31 de cualquier mes, el gusano procede a borrar todos los archivos localizados en el escritorio de Windows (C:\WINDOWS\Escritorio por defecto).

Cuando se ejecuta el script original, se muestra una ventana sin botones, con el siguiente mensaje:

VBScript
vandEEd0

La ejecución de cualquiera de los demás archivos infectados, no despliega dicho mensaje.

En el código de los scripts infectados, puede encontrarse el siguiente texto visible:

rem vandEEd0 que por introducion dose pares


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

Nota: Si se activa la rutina de borrado de archivos del escritorio, se deberá proceder a su recuperación desde una copia de respaldo, o en su defecto a la reinstalación de Windows, cosa que puede hacerse sobre el anterior para no perder la actual configuración.

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS