| |
VSantivirus No. 298 - Año 5 - Miércoles 2 de mayo de 2001
Nombre: VBS/Happytime.A
Alias: VBS/Haptime, VBS/Help, VBS.HappyTime,
VBS_HAPTIME.A, VBS.Happytime, VBS_Haptime, VBS/Haptime@MM
Tipo: Gusano de Visual Basic Script
Origen: China
Fecha: 30/abr/01
Activo: Si
Este virus del tipo gusano, escrito en Visual Basic Script, ha sido reportado recientemente y su origen parece ser China.
Se propaga a través del Outlook Express y es capaz de infectar archivos con las extensiones
.HTML, .VBS, .HTM, .ASP y .HTT.
Cuando se ejecuta por primera vez, el virus crea copias de si mismo en diferentes formatos. Primero, crea los archivos
HELP.VBS y HELP.HTA en el primer subdirectorio de la unidad
C:\ (según fecha). También se copia a si mismo como HELP.HTM y UNTITLED.HTM en el directorio donde reside Windows (generalmente
C:\WINDOWS).
El virus configura luego el archivo HELP.HTM como el papel tapiz del escritorio, modificando la siguiente clave del registro:
HKCU\Control Panel\desktop
wallPaper=C:\WINDOWS\Help.htm
Esta acción ocasiona que el virus se cargue en el inicio de Windows siempre que el "Active Desktop" esté habilitado (en Windows 98, "Inicio", "Configuración", "Active Desktop", "Ver como página Web" tildado).
Una vez en memoria, el virus busca en el disco duro, todos los archivos con extensiones
.VBS, .HTML, .HTM y .ASP para infectarlos. Pero si el día y el mes actual suman 13 (por ejemplo 8/5, 7/6, etc.), en su lugar buscará archivos con extensiones
.EXE y .DLL y los borrará.
Para poder propagarse a través del correo electrónico, el virus modifica tres claves del registro para hacer que el archivo
UNTITLED.HTM sea el usado por el Outlook Express como el diseño de fondo por defecto (formato HTML):
HKCU\Identities\[Identificador]\Software\Microsoft\Outlook Express\5.0\Mail\
Compose Use Stationery="1"
Message Send HTML="1"
Stationery Name="C:\WINDOWS\Untitled.htm"
El [Identificador] es diferente para cada usuario, y es tomado por el virus de la siguiente clave del registro:
HKCU\Identities\Default User ID
El resultado de todo esto, será que cualquier nuevo mensaje creado con el Outlook Express contendrá el virus empotrado en el formato HTML.
Luego de hacer todos estos cambios, el virus infectará todos los archivos
.HTT en el subdirectorio C:\WINDOWS\WEB. Esto ocasionará que todas las vistas HTML de las carpetas del sistema (Mi PC, Panel de Control, Impresoras, etc.) que se abren con el Explorador de Windows, sean infectadas (menú "Ver", opción "Cómo una pagina Web").
El virus activará un contador donde sumará todas las veces que ha sido ejecutado, y si la cantidad es un múltiplo de 366, intentará enviarse a si mismo a todas las direcciones de la libreta del Outlook , o respondiendo todos los mensajes nuevos de la carpeta "Bandeja de entrada". Sin embargo, ambos métodos parecen fallar en las pruebas realizadas.
Como sacar el virus de un sistema infectado en forma
automática
Vea: Utilidad para sacar el virus VBS/Haptime.A y B
Como sacar el virus de un sistema infectado en forma manual
1. Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.
2. Borre los archivos .HTT de la carpeta C:\Windows\Web. Para ello, desde Inicio, Buscar, Archivos o carpetas, seleccione en "Buscar en:" lo siguiente:
C:\Windows\Web
3. En "Nombre", escriba *.HTT, luego borre cada uno de los archivos
*.HTT que aparezcan en la carpeta C:\Windows\Web.
4. Vacíe la Papelera de reciclaje (botón derecho sobre ella, "Vaciar la papelera de reciclaje".
5. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Help
7. Pinche sobre la carpeta "Help" y luego borre las siguientes carpetas:
Count
FileName
8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Control Panel
desktop
9. Pinche sobre la carpeta "DESKTOP". En el panel de la derecha busque algo como:
wallPaper
"C:\WINDOWS\Help.htm"
10. Pinche dos veces sobre el nombre
"wallPaper" y borre el contenido de "Información del valor"
("C:\WINDOWS\Help.htm"). Confirme los cambios. Debería quedar algo así:
wallPaper ""
11. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Identities
[Identificador Ej: {3BA26F68-D213-13E2-AA78-0040335886EE}]
Software
Microsoft
Outlook Express
5.0
Mail
12. Pinche sobre la carpeta "MAIL". En el panel de la derecha busque las siguientes claves:
Compose Use Stationery "1"
Message Send HTML "1"
Stationery Name="C:\WINDOWS\Untitled.htm"
13. Pinche dos veces sobre cada uno de los nombres
("Compose Use Stationery", "Message Send HTML", "Stationery
Name"), y modifique el contenido de "Información del valor" de modo que el resultado sea:
Compose Use Stationery "0"
Message Send HTML "0"
Stationery Name ""
14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Tenga en cuenta que si el virus ha borrado los archivos .EXE y
.DLL, el sistema no funcionará, y deberá reinstalar Windows.
Temas relacionados
Parche de Microsoft para corregir la vulnerabilidad de la que se aprovecha este virus (se ejecuta sin abrir ningún adjunto):
http://www.microsoft.com/technet/ie/tools/scrpteye.asp
Ver también:
VSantivirus No. 350 - 23/jun/01
VBS/Haptime.B@mm (Hapytime.B). Infecta con solo ver mensajes
VSantivirus No. 101 - 23/mar/00
VBS/Kakworm-A. Se propaga sin necesidad de adjuntos
VSantivirus No. 157 - 12/dic/00
VBS/Kakworm-E. Infecta con solo verlo en vista previa
Fuente: Computer Associated
|
|
