Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

BAT/Eris.A. Datos adjuntos: bat.eris.bat
 
VSantivirus No. 717 - Año 6 - Lunes 24 de junio de 2002

 BAT/Eris.A. Datos adjuntos: bat.eris.bat
http://www.vsantivirus.com/eris-a.htm

Nombre: BAT/Eris.A
Tipo: Gusano de Internet
Alias: BAT_ERIS.A, ERIS.A, VBS/Eris.A, VBS_ERIS.A
Fecha: 22/jun/02
Plataformas: Windows
Tamaño: 23,000 bytes
Fuente: Trend

Este gusano en formato .BAT (archivos de proceso por lotes de DOS), además de propagarse a través del correo electrónico, tiene características destructivas.

El gusano llega como adjunto en un mensaje con estas características:

Asunto: Hail Eris!

Texto:
Hail Discordia! All Hail Discordia! Welcome to c0nfusion.

Datos adjuntos: bat.eris.bat

La extensión .BAT puede quedar oculta en la configuración por defecto de Windows (ver Referencias).

El virus puede borrar archivos pertenecientes a conocidos antivirus, y en determinada fecha crear múltiples carpetas en el directorio raíz de la unidad C

Cuando el usuario ejecuta el adjunto haciendo doble clic sobre él, el gusano examina el sistema buscando determinados antivirus y borra sus archivos en caso de encontrarlos.

También se copia a si mismo en la carpeta \System de Windows:

C:\Windows\System\BAT.ERIS.BAT

Las carpetas 'Windows' y 'System' pueden tener diferentes nombres de acuerdo al sistema operativo instalado (WinNT, etc.).

También modifica el archivo de configuración WIN.INI para poderse ejecutar a si mismo en cada reinicio de Windows:

[windows]
load=c:\windows\system\bat.eris.bat

Después, crea el archivo en Visual Basic Script llamado ERIS.VBS en la misma carpeta 'System':

C:\Windows\System\ERIS.VBS

Este archivo realiza el envío masivo de mensajes infectados (VBS/Eris.A). El script hace uso de las rutinas MAPI (Messaging Application Programming Interface) para propagarse a través del Microsoft Outlook, enviando mensajes similares al descripto más arriba.

También puede propagarse a través de los canales de chat (IRC), sobrescribiendo el archivo de configuración del programa mIRC (si está instalado en el sistema), con su propio SCRIPT.INI, el cuál contiene las instrucciones para enviar el archivo BAT.ERIS.BAT a todos los participantes conectados al mismo canal del usuario infectado.

Si la fecha del sistema es el día 23 de cualquier mes, el virus genera una gran cantidad de carpetas, incluyendo una llamada '3ri5', en el raíz de la unidad C. Un archivo llamado ERIS.INF conteniendo el siguiente texto es creado dentro de esta carpeta:

Eris came to cause some confusion/chaos.
Well done, my goddess!
bat.eris by philet0ast3r [rRlf]
(muse: windy by Net_Tez)


Para eliminar manualmente este virus

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Si existe la siguiente referencia en la línea "load=" bajo la sección [windows], borre lo que aparece después del '='.

Por ejemplo:

[windows]
load=c:\windows\system\bat.eris.bat

Debe quedar como:

[Windows]
load=

3. Pinche en Inicio, Buscar, Archivos o carpetas.

4. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

5. En la casilla "Nombre" escriba (o "corte y pegue") lo siguiente:

SCRIPT.INI

6. Pinche en "Buscar ahora".

7. Si aparece este archivo dentro de un directorio mIRC (por ejemplo C:\mIRC\SCRIPT.INI), márquelo.

8. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.

9. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

10. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC, lo mismo que por medio del correo electrónico. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Vea también:

VSantivirus No. 395 - 7/ago/01
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS