Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Haptime (Happytime) El peligro del correo con formato HTML
 
VSantivirus No. 298 - Año 5 - Miércoles 2 de mayo de 2001

Nombre: VBS/Happytime.A
Alias: VBS/Haptime, VBS/Help, VBS.HappyTime, VBS_HAPTIME.A, VBS.Happytime, VBS_Haptime, VBS/Haptime@MM
Tipo: Gusano de Visual Basic Script
Origen: China
Fecha: 30/abr/01
Activo: Si

Este virus del tipo gusano, escrito en Visual Basic Script, ha sido reportado recientemente y su origen parece ser China.

Se propaga a través del Outlook Express y es capaz de infectar archivos con las extensiones .HTML, .VBS, .HTM, .ASP y .HTT.

Cuando se ejecuta por primera vez, el virus crea copias de si mismo en diferentes formatos. Primero, crea los archivos HELP.VBS y HELP.HTA en el primer subdirectorio de la unidad C:\ (según fecha). También se copia a si mismo como HELP.HTM y UNTITLED.HTM en el directorio donde reside Windows (generalmente C:\WINDOWS).

El virus configura luego el archivo HELP.HTM como el papel tapiz del escritorio, modificando la siguiente clave del registro:

HKCU\Control Panel\desktop
wallPaper=C:\WINDOWS\Help.htm

Esta acción ocasiona que el virus se cargue en el inicio de Windows siempre que el "Active Desktop" esté habilitado (en Windows 98, "Inicio", "Configuración", "Active Desktop", "Ver como página Web" tildado).

Una vez en memoria, el virus busca en el disco duro, todos los archivos con extensiones .VBS, .HTML, .HTM y .ASP para infectarlos. Pero si el día y el mes actual suman 13 (por ejemplo 8/5, 7/6, etc.), en su lugar buscará archivos con extensiones .EXE y .DLL y los borrará.

Para poder propagarse a través del correo electrónico, el virus modifica tres claves del registro para hacer que el archivo UNTITLED.HTM sea el usado por el Outlook Express como el diseño de fondo por defecto (formato HTML):

HKCU\Identities\[Identificador]\Software\Microsoft\Outlook Express\5.0\Mail\

Compose Use Stationery="1"
Message Send HTML="1"
Stationery Name="C:\WINDOWS\Untitled.htm"

El [Identificador] es diferente para cada usuario, y es tomado por el virus de la siguiente clave del registro:

HKCU\Identities\Default User ID

El resultado de todo esto, será que cualquier nuevo mensaje creado con el Outlook Express contendrá el virus empotrado en el formato HTML.

Luego de hacer todos estos cambios, el virus infectará todos los archivos .HTT en el subdirectorio C:\WINDOWS\WEB. Esto ocasionará que todas las vistas HTML de las carpetas del sistema (Mi PC, Panel de Control, Impresoras, etc.) que se abren con el Explorador de Windows, sean infectadas (menú "Ver", opción "Cómo una pagina Web").

El virus activará un contador donde sumará todas las veces que ha sido ejecutado, y si la cantidad es un múltiplo de 366, intentará enviarse a si mismo a todas las direcciones de la libreta del Outlook , o respondiendo todos los mensajes nuevos de la carpeta "Bandeja de entrada". Sin embargo, ambos métodos parecen fallar en las pruebas realizadas.


Como sacar el virus de un sistema infectado en forma automática

Vea: Utilidad para sacar el virus VBS/Haptime.A y B


Como sacar el virus de un sistema infectado en forma manual


1. Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

2. Borre los archivos .HTT de la carpeta C:\Windows\Web. Para ello, desde Inicio, Buscar, Archivos o carpetas, seleccione en "Buscar en:" lo siguiente:

C:\Windows\Web

3. En "Nombre", escriba *.HTT, luego borre cada uno de los archivos *.HTT que aparezcan en la carpeta C:\Windows\Web.

4. Vacíe la Papelera de reciclaje (botón derecho sobre ella, "Vaciar la papelera de reciclaje".

5. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Help

7. Pinche sobre la carpeta "Help" y luego borre las siguientes carpetas:

Count
FileName

8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Control Panel
desktop

9. Pinche sobre la carpeta "DESKTOP". En el panel de la derecha busque algo como:

wallPaper         "C:\WINDOWS\Help.htm"

10. Pinche dos veces sobre el nombre "wallPaper" y borre el contenido de "Información del valor" ("C:\WINDOWS\Help.htm"). Confirme los cambios. Debería quedar algo así:

wallPaper ""

11. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Identities
[Identificador Ej: {3BA26F68-D213-13E2-AA78-0040335886EE}]
Software
Microsoft
Outlook Express
5.0
Mail

12. Pinche sobre la carpeta "MAIL". En el panel de la derecha busque las siguientes claves:

Compose Use Stationery "1"
Message Send HTML "1"
Stationery Name="C:\WINDOWS\Untitled.htm"

13. Pinche dos veces sobre cada uno de los nombres ("Compose Use Stationery", "Message Send HTML", "Stationery Name"), y modifique el contenido de "Información del valor" de modo que el resultado sea:

Compose Use Stationery "0"
Message Send HTML "0" 
Stationery Name ""

14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Tenga en cuenta que si el virus ha borrado los archivos .EXE y .DLL, el sistema no funcionará, y deberá reinstalar Windows.


Temas relacionados

Parche de Microsoft para corregir la vulnerabilidad de la que se aprovecha este virus (se ejecuta sin abrir ningún adjunto): http://www.microsoft.com/technet/ie/tools/scrpteye.asp


Ver también:


VSantivirus No. 350 - 23/jun/01
VBS/Haptime.B@mm (Hapytime.B). Infecta con solo ver mensajes

VSantivirus No. 101 - 23/mar/00
VBS/Kakworm-A. Se propaga sin necesidad de adjuntos

VSantivirus No. 157 - 12/dic/00
VBS/Kakworm-E. Infecta con solo verlo en vista previa


Fuente: Computer Associated

 

Copyright 1996-2001 Video Soft BBS