Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

BAT/Eversaw.A. Datos adjuntos: BAT.FUCK.BAT
 
VSantivirus No. 720 - Año 6 - Jueves 27 de junio de 2002

BAT/Eversaw.A. Datos adjuntos: BAT.FUCK.BAT
http://www.vsantivirus.com/eversaw-a.htm

Nombre: BAT/Eversaw.A
Tipo: Gusano de Internet (MS-DOS Batch)
Alias: BAT_EVERSAW.A, VBS_EVERSAW.A, IRC_EVERSAW.A,
I-Worm.Eversaw
Fecha: 26/jun/02
Tamaño: 6,500 bytes aprox.
Fuente: Trend

Este gusano de archivos batch (.BAT), se envía a si mismo a todas las direcciones de la libreta del Outlook (Outlook y Outlook Express).

El mensaje tiene estas características:

Asunto: Ever saw an encrypted batch-worm? N0? then it's time!

Texto:
Well, you don't have to execute the attachment (if you don't want to ;) ... hey, at least look at it! You can boast at your friends this evening at the strip: 'Hey comrades, today I saw an encrypted batch-worm!' ... Isn't that fascinating ?!

Datos adjuntos: BAT.FUCK.BAT

Cuando se ejecuta, el BAT crea una copia de si mismo en C:\BAT.FUCK.BAT. Luego examina la existencia del archivo CRYPT.VBS en el directorio de Windows. Si este archivo no existe, lo crea.

El archivo BAT ejecuta CRYPT.VBS seguido de BAT.FUCK.BAT

El script de Visual Basic realiza algunas operaciones con el archivo BAT.FUCK.BAT, ya que este contiene algunos caracteres encriptados que son transformados en comandos normales de archivos batch. Por otro lado, se encriptan otras partes del código del .BAT que antes eran leíbles.

Cuando BAT.FUCK.BAT finalmente es ejecutado por la acción del .VBS, se borran los siguientes productos antivirus, siempre que estén en las ubicaciones aquí mostradas:

C:\programme\norton~1\s32integ.dll
C:\programme\f-prot95\fpwm32.dll
C:\programme\mcafee\scan.dat
C:\tbavw95\tbscan.sig
C:\programme\tbav\tbav.dat
C:\tbav\tbav.dat
C:\programme\avpersonal\antivir.vdf

Luego, el gusano genera y ejecuta el archivo C:\PAYLOAD.VBS, el cuál solo despliega una ventana con este mensaje:

bat.fuck
...be sure to get all the meanings...
(ah, this is a presentation of encrypted batch ;)
[    Aceptar    ]

También modifica el registro agregando el valor MSG para que se ejecute PAYLOAD.VBS en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MSG = C:\Payload.vbs

Note que esto hace que se muestre el mensaje 'bat.fuck' descripto antes, cada vez que Windows se reinicia.

También se modifica el archivo WIN.INI agregando la siguiente línea bajo la etiqueta '[windows]':

[windows]
load=c:\bat.fuck.bat

Esto hace que se ejecute BAT.FUCK.BAT cada vez que Windows se reinicia.

El gusano también intenta borra el archivo SCRIPT.INI del mIRC, de las siguientes ubicaciones y reemplazarlos con un SCRIPT.INI propio:

C:\mirc\script.ini 
C:\mirc32\script.ini 
C:\progra~1\mirc\script.ini 
C:\progra~1\mirc32\script.ini

Hace lo mismo con el archivo EVENTS.INI, en la carpeta C:\Pirch98. Pirch98 y mIRC son clientes de IRC (Internet Relay Chat).

Los nuevos SCRIPT.INI y EVENTS.INI configuran sus respectivos programas para enviar copias de BAT.FUCK.BAT a todos los usuarios unidos que compartan los canales visitados por el usuario infectado.

El virus también modifica las siguientes entradas del registro, pertenecientes al programa KaZaa, usado para compartir archivos entre usuarios a través de Internet:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DisableSharing = dword:00000000

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DownloadDir = "C:\Program Files\KaZaA\My Shared Folder" 

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Dir0 = "012345:c:\\"

Finalmente, el virus crea el archivo OUTLOOK.VBS en la carpeta de Windows. Este script se encarga de enviar el archivo BAT.FUCK.BAT a todas los contactos de la libreta de direcciones del Outlook, en un mensaje idéntico al descripto arriba.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por el virus

4. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):

C:\PAYLOAD.VBS
C:\PAYLOAD.REG
C:\KAZAA.REG

5. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

MSG

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. Se abrirá este archivo en el bloc de notas.

10. Modifique las siguientes entradas bajo la sección '[windows]':

[windows]
load=c:\bat.fuck.bat

Debe quedar como:

[windows]
load=

11. Grabe los cambios y salga del bloc de notas.

12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS