Asunto: System Administrator Notification

Texto:

Due to the recent problems with the email server, we have devised a program that will fix it up. You are requested to download the attached file and execute it at once. The whole setup will take 5 to 10 minutes. If your system crashes, just restart your computer and everything will be back to normal.

Please follow instructions carefully.

System Administrator
Network Management.

Datos adjuntos: [archivo .VBS]

El adjunto puede tener cualquier nombre. Para el envío utiliza el Microsoft Outlook y Outlook Express.

Cuando se ejecuta, el gusano encripta de inmediato todos los archivos .VBS localizados en la carpeta C:\Windows\Samples\WSH. Esta carpeta contiene ejemplos de archivos de comandos usados por la utilidad Windows Script Host, un poderoso lenguaje que permite la ejecución de scripts. Sin embargo, la mayoría de los usuarios no utiliza este tipo de archivos para su uso personal.

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).

El gusano posee su propia rutina de encriptación y desencriptación, la que es copiada en todos los archivos infectados.

Todas las versiones:

Si la fecha actual del sistema es 1, 30 o 31 de cualquier mes, el gusano muestra dos ventanas de mensajes con los siguientes textos:

Texto 1:

Joke: Do not click OK button or your My 
Documents files will get lost!

Texto 2:

Serious: We have to laugh at our problems.

Luego, procede a borrar todos los archivos localizados en la carpeta 'Mis Documentos' (C:\Mis documentos por defecto).

Versión C solamente:

Si la fecha actual del sistema es 1 o 2 de cualquier mes, el gusano muestra una ventana con el siguiente texto:

news flash: barney is dead.

También intenta borra la siguiente clave del registro:

HKEY_CURRENT_USER\Software

Si la fecha actual es 29, 30, o 31 de cualquier mes, se muestra una ventana con el siguiente mensaje:

In the local news: vAndEEd0 hits again.

También agrega las siguientes entradas en el registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\Explorer
“NoDrives” = “01 00”

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\Explorer
“ClassicShell” = “01 00”

Además intenta borrar la siguiente clave del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion

Finalmente, cada vez que se ejecuta el script original, se muestra una ventana sin botones, con el siguiente mensaje:

VBScript
vandEEd0

La ejecución de cualquiera de los demás archivos infectados, no despliega dicho mensaje.

El gusano se envía a través del Outlook y Outlook Express, en mensajes similares al ya descripto.

Además de ello, para estar disponible a otros usuarios en la red KaZaa, crea las siguientes entradas en el registro:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Dir2="012345:C:\Windows\SAMPLES\WSH"

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DisableSharing="0"

En el código de los scripts infectados, puede encontrarse el siguiente texto visible:

rem vandEEd0 intelihente por sustento sinco

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Reparación manual

Nota: Si se activa la rutina de borrado de archivos, incluido parte del registro, se deberá proceder a su recuperación desde una copia de respaldo, o en su defecto a la reinstalación de Windows, cosa que puede hacerse sobre el anterior para no perder la actual configuración. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas.

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

Todas las versiones:

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

3. Pinche en la carpeta "LocalContent" y en el panel de la derecha busque y borre las siguientes entradas:

Dir2 = "012345:C:\Windows\SAMPLES\WSH" 
DisableSharing = "0"

Versión C solamente:

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer

5. Pinche en la carpeta "Explorer" y en el panel de la derecha busque y borre las siguientes entradas:

NoDrives
ClassicShell

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com