ANGELINA-JOLIE-MEGAFUCK.TXT.vbs

En un Windows configurado por defecto (note el truco de la doble extensión), solo aparecerá como un archivo de texto (.TXT), lo que nos puede hacer creer que es un inocente archivo de texto.

El mensaje tiene esta apariencia:

Asunto: Check this!

Texto:
Have you ever seen Angelina Jolie in extremely hot scenes? 
You cannot imagine the pleasure,unless you check the attachment. "I'll get in touch with you again soon...

Datos adjuntos: ANGELINA-JOLIE-MEGAFUCK.TXT.vbs

Si el virus es ejecutado desde la unidad de disquete A o B, se copiará a si mismo como C:\TARANTINO.TXT.vbs. También copia los siguientes archivos infectados al directorio de Windows (C:\Windows):

ANGELINA-JOLIE-MEGAFUCK.TXT.vbs 
kernelDLL.vbs 
PING-PONG.TXT.vbs 
BLOWJOB.TXT.vbs 
DANCE-WITH-THE-DEVIL.TXT.vbs 
MATRIX2-THEME.TXT.vbs 
SPIDER-MAN-THE-MOVIE.TXT.vbs 
THE-GIFT.TXT.vbs 
x-MEN.TXT.vbs 
IRON-MAIDEN-ARE-DEAD.TXT.vbs 
METALLICA-NEW-ALBUM.TXT.vbs 
THE-MUMMY-RETURNS.TXT.vbs

Y los siguientes a la carpeta System de Windows (C:\Windows\System):

Winkernel.vbs 
LORD-OF-THE-RINGS-3.TXT.vbs 
BRAD-PITT-IS-GAY.TXT.vbs 
FUCK-THIS-CORPSE.TXT.vbs 
AAAARRRGGGHH.TXT.vbs 
THIS-IS-MY-LAST-HOUR.TXT.vbs 
BLACK-SABBATH.TXT.vbs 
LARA-CROFT-BLOWJOB.TXT.vbs 
MICROSOFT-BEEN-HACKED.TXT.vbs 
WIN98-SUPERCRASH.TXT.vbs 
ATTENTION!!!.TXT.vbs

Los siguientes archivos son creados en la unidad de disquete A o B:

WAKE-UP-DEAD-MAN.TXT.vbs 
LORD-OF-THE-RINGS-2.TXT.vbs 
READY-TO-DIE.TXT.vbs 
FUCK.TILL.DEATH.TXT.vbs 
AFRICA-GAY.TXT.vbs 
YOU-HAVE-AIDS.TXT.vbs 
NOTHING-ELSE-MATTERS.TXT.vbs 
KYLIE-MINOGUE.TXT.vbs 
BILL-GATES-SMASHES-ALL.TXT.vbs 
SHIT-HAPPENS.TXT.vbs

Algunas de las siguientes ramas del registro son agregadas, y harán que el gusano se ejecute solo al iniciarse nuevamente Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinUpdated = "wscript.exe kernelDLL.vbs"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinUpdated = "wscript.exe inkernel.vbs"

El gusano se envía luego a otros ususrios.

Si se activa un 16 de mayo, el virus borra el directorio de Windows.

Si la fecha es 11 de mayo, se muestra la siguiente ventana de mensajes:

AAATSUUU!!!
GATE ONE:YOUR PC CAUGHT A THROAT
[    OK    ]

El día 12 de mayo:

OH MAMA,I'M DOOMED!
GATE TWO:YOUR PC IS NOW STONED
[    OK    ]

El día 15 de mayo:

!ONLY EVIL LIVES HERE!
GATE THREE:GREETINGZ MORTAL,ART THOU READY TO DIE?
[    OK    ]

El día 17 de mayo:

GREEKHACK virus ver 6.1
You aRe Out oF DanGer,U LuCky Gay!--->FROM THE
GREEKHACK virus writer
[    OK    ]

La infección se produce al ejecutar un archivo adjunto infectado

Para limpiar un sistema infectado, ejecute uno o más antivirus al día, y borre los archivos que pertenezcan a este gusano.


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com