| |
VSantivirus No. 789 - Año 6 - Jueves 5 de setiembre de 2002
VBS/Gaggle.A. Datos adjuntos: AngelDelMar.HTML
http://www.vsantivirus.com/gaggle.htm
Nombre: VBS/Gaggle.A
Tipo: Gusano de Internet y virus
Alias: HTML/Gaggle, VBS/Gaggle,
Gaghiel, W32/Gaghiel@mm, VBS/Gaggle.A@mm
Fecha: 2/set/02
Plataforma: Windows 32-bits
Fuente: Panda
Este gusano, reportado por Panda, posee características que lo hacen especialmente peligroso entre usuarios de habla hispana.
El gusano se propaga a todos los contactos de la libreta de direcciones del Outlook, haciendo uso de varios mensajes en español, que aumentan la probabilidad de engañar al usuario para que este abra el adjunto y se infecte.
Aunque los asuntos y textos pueden variar, en la versión actual el adjunto siempre se llama
AngelDelMar.HTML. De cualquier modo, recuerde que jamás debe abrir adjuntos que no solicitó, aun cuando vengan de
conocidos.
El gusano es capaz de borrar archivos de Windows, además de infectar todos los archivos con extensión HTM que se encuentren en la computadora.
Además de ello, dependiendo de la fecha actual, el gusano es capaz de mostrar un texto en pantalla o de cambiar la página de inicio del Internet Explorer.
Llega en un correo electrónico, cuyos asuntos y contenidos (en español) pueden variar:
Ejemplos:
Asunto:
Revista virtual
Texto:
Hola te envio el prospecto de subscripción
de una buena revista virtual, la revista llega a
tu mail y se puede leer como página web.La página
de subscripcion es interactiva, mirala a ver que
te parece.
Datos adjuntos:
AngelDelMar.HTML
Asunto:
Articulo
Texto:
Te envio este articulo que encontre en
internet, es interesante y tal vez te sirva,he
estado un poco ocupado, luego te cuento. Adios
Datos adjuntos:
AngelDelMar.HTML
Asunto:
Correo seguro
Texto:
Estaba navegando en internet, y en una
pagina vi un anuncio de una empresa de antivirus
que revisaba si habia virus en el buzon de correo
del servidor antes de que llege a tu computadora,
la ventaja es que a diferencia de los antivirus
caseros que no detectan virus nuevos ellos si los
detectan ya que su base de datos esta actualizada
a cada instante, hay mas detalles en la pagina que
te envio, leela a ver que te parece, el servicio
es gratis. Adios y hasta pronto.
Datos adjuntos:
AngelDelMar.HTML
Asunto:
Descargas Gratis
Texto:
Hola, encontre una pagina en la que se puede
descargar gran variedad de cosas, como musica,
programas y libros; la descarga es gratis claro que
hay que aguantar un poco de publicidad pero es buena
pagina. Te envio una parte de la pagina que descargue
para que veas, a tiene efectos y hay que aceptar el
cuadro que da, sino no carga. Luego te escribo, Adios
Datos adjuntos:
AngelDelMar.HTML
Asunto:
Efectos en Web
Texto:
Hola, te envio esta pagina, tiene unos muy
buenos efectos, a mi me sorprendio Te escribo luego,
hay una cosa que quiero contarte. Adios
Datos adjuntos:
AngelDelMar.HTML
Como vemos, lo único común es el adjunto, el archivo
'AngelDelMar.HTML'. Si el usuario hace doble clic sobre él, el código insertado en el HTML se ejecuta y el gusano realiza las siguientes acciones:
Si la fecha actual es posterior al día 25 de cualquier mes, modifica la página de inicio del Internet Explorer para que se abra en determinado sitio Web. Para ello,
cambia la siguiente rama del registro:
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = www.xxxxx.com\Machinedramon1\sachiel.jpg.slth7""src
Si la suma del día y el mes es igual a 30
(29 de enero, 28 de febrero, 27 de marzo, etc.), el gusano muestra una ventana con el siguiente mensaje:
Gaghiel
Oracion antes de entrar al internet:
Satelite nuestro que estas en el cielo,
Acelerado sea tu link,
Venga a nosotros tu hipertexto,
Hagase tu conexion en lo real como en lo virtual
Danos hoy el download de cada dia,
Perdona el cafe en el Teclado,
Asi como nosotros perdonamos a nuestros proveedores,
No nos dejes caer la conexion,
Y libranos de todo Virus,
En nombre del Server, del Modem y del santo User-name.
Log-in
[ Aceptar ]
En todos los casos, el gusano crea un archivo
GAGHIEL.VBS, en el directorio de sistema de Windows:
C:\Windows\System\Gaghiel.vbs
Cuando el script Gaghiel.vbs (escrito en Visual Basic Script), es ejecutado por el propio gusano, el mismo borra los siguientes archivos:
C:\Windows\REGEDIT.EXE
C:\Windows\MSCONFIG.EXE
C:\Windows\SYSTEMSFC.EXE
C:\Windows\HELP\*.HLP
C:\Windows\HELP\*.CHM
C:\Windows\HELP\*.CNT
Además borra otros archivos CHM, DLL y CHI de modo aleatorio en el disco duro.
También crea el archivo ANGELDELMAR.HTML:
C:\Windows\System\AngelDelMar.HTML
Este archivo es el que será enviado en los mensajes infectados.
Además, todos los archivos con extensión HTM de todos los discos duros son infectados por el código del gusano.
También se crea la siguiente entrada en el registro de Windows, que permite la ejecución del gusano en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Gaghiel = c:\windows\system\Gaghiel.vbs
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Domain Manager
Gaghiel = c:\windows\system\Gaghiel.vbs
Luego de ello, procede a enviarse a todos los contactos de la libreta de direcciones de Windows, en mensajes similares a los descriptos antes, seleccionados al azar, y con el archivo
'AngelDelMar.HTML' como adjunto.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Borrar los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\Windows\System\Gaghiel.vbs
C:\Windows\System\AngelDelMar.HTML
Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.
Editar el registro
Para editar el registro, deberá recuperar la herramientas que han sido borradas por el virus. Para ello siga los procedimientos del siguiente artículo:
VSantivirus No. 498 - 18/nov/01
Cómo recuperar archivos con SFC en Windows 98 y Me
http://www.vsantivirus.com/faq-sfc.htm
Siguiendo dichas instrucciones, recupere los siguientes archivos:
C:\Windows\REGEDIT.EXE
C:\Windows\MSCONFIG.EXE
C:\Windows\SYSTEMSFC.EXE
SYSTEMSFC.EXE no se encuentra en todas las versiones de Windows.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Gaghiel
4. Borre también 'Domain Manager' bajo la carpeta 'Run'
5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
20/dic/02 - Se cambia el nombre (VBS/Gaggle.A). Antes: HTMLGaggle
20/dic/02 - Alias: Gaghiel, W32/Gaghiel@mm, VBS/Gaggle.A@mm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
