Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Gorum.A@mm. Borra archivos de Windows y discos C a F
 
VSantivirus No. 293 - Año 5 - Viernes 27 de abril de 2001

Nombre: VBS/Gorum.A@mm
Tipo: Gusano de Visual Basic Script
Fecha: 23/abr/01
Alias: VBS/Gorum.gen@MM

Es un gusano escrito en Visual Basic Script, en formato VBE. Llega en un mensaje con un adjunto llamado STU-CMH.txt.vbe. Note la doble extensión .TXT.VBE, que por defecto hará que en la ventana de su explorador, solo sea visible la extensión .TXT (Ver "Información complementaria").

Como muchos otros, utiliza el Microsoft Outlook para propagarse. Además, es capaz de borrar múltiples archivos y carpetas en las unidades de disco desde la C a la F.

Si el archivo adjunto STU-CMH.txt.vbe es ejecutado (doble clic), el gusano se activa, y realiza las siguientes acciones:

1. Se copia a si mismo en el raíz de C: y en la carpeta \Windows\System:

C:\STU-CMH.txt.vbe
C:\Windows\System\STU-CMH.txt.vbe

2. Modifica la página de inicio del Internet Explorer por la siguiente:

http://www.stu.edu.tw

3. Modifica la siguiente rama del registro, para poder ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
STU-CMH = C:\Windows\System\STU-CMH.txt.vbe

4. Crea un archivo "C:\virus information.txt" con el siguiente contenido:

*************************************************************
********     The Virus Program Information           ********
********     Designer :  VHacker                     ********
********     Place :  Taiwan                         ********
********     Create Date : 04/19/2001                ********
********     Modification Time :04/19/2001           ********
*************************************************************

5. Envía el siguiente mensaje, a todos los contactos de la libreta de direcciones del Microsoft Outlook:

Asunto: STU-CMH
Texto: School Name:SHU-TE Institute of Technology
Archivo adjunto: STU-CMH.txt.vbe

6. El gusano intenta borrar los archivos con las siguientes extensiones en el raiz de C:\:

.mp3
.jpg
.jpeg
.bmp
.exe
.zip

7. También intenta borrar todos los archivos y carpetas de las unidades de disco D, E, y F, si estas existieran.

8. El gusano también intentará borrar las siguientes carpetas, si existieran:

C:\Windows\COMMAND
C:\Windows\FONTS
C:\Windows\Start Menu
C:\Program Files\ACD
C:\Program Files\Trend PC-cillin 98
C:\Program Files\Microsoft Office97
C:\Program Files\Norton
C:\Program Files\WinZip
C:\Program Files\rinamp
C:\Program Files\Adobe
C:\My Documents

Para limpiar una máquina infectada por el gusano, se deberá ejecutar un antivirus actualizado, y borrar los archivos detectados como VBS.Gorum.A@mm.

Si el virus ejecutó su rutina destructiva, se deberán reinstalar los programas afectados, e incluso Windows. El virus afecta a Windows 95, 98 y Me.

Para borrar los cambios hechos al registro, y restaurar la página de inicio del IE, ejecute estos pasos (note que si Windows no responde correctamente, deberá proceder a reinstalarlo):

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha, busque y borre la siguiente clave:

STU-CMH

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Abra el Internet Explorer, y cambie la página de inicio por una de su preferencia (Herramientas, Opciones de Internet, General, Página de inicio).

6. Restaure los archivos borrados. Recuerde, si Windows no funciona correctamente, deberá reinstalarlo.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Fuente: Symantec


Información complementaria

Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:

  • En Windows 95/98:
    Seleccione Mi PC, Menú Ver, Opciones (u Opciones de carpetas).
  • En Windows Me:
    Seleccione Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También recomendamos que MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Ver también:
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS

 

Copyright 1996-2001 Video Soft BBS