Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: I-Worm.Jer
 
Domingo 9 de julio de 2000

Nombre: I-Worm.Jer
Tipo: Gusano de VBS
Alias: VBS/Jer-A

Es un gusano de Internet, que se propaga a través de los canales de IRC, y además intenta propagarse vía e-mail, pero esta opción falla debido a un error en su código.

El gusano fue puesto por su autor, en una página hospedada en Geocities (www.geocities.com), que actualmente no existe. La página tenía como título: "<< THE 40 WAYS WOMEN FAIL IN BED".

El 2 de julio de 2000, la información acerca de esta página, fue divulgada a través de los canales de IRC, y obtuvo más de 10.000 hits (visitas) el primer día. Afortunadamente, el gusano posee un error (bug), en su rutina de propagación a través del correo electrónico, fallando en este intento.

La página HTML infectada, contenía un script de VBS en su cuerpo. Al abrirse la página, el script pedía su ejecución al visitante. Si este lo aceptaba, el gusano tomaba el control. Primero creaba una copia del HTML infectado en el directorio SYSTEM de Windows, con el nombre JER.HTM. Luego modificaba el registro de esta forma:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\GinSenG = "JER.HTM"

Como resultado, el worm se ejecutaba automáticamente con cada reinicio de Windows.

El gusano busca el directorio C:\MIRC, y si este existe, crea el archivo "SCRIPT.INI" conteniendo comandos para el cliente mIRC. El worm escribe en este archivo, una serie de ordenes para poder enviar el archivo infectado JER.HTM, a todas las computadoras de los usuarios que estuvieran conectados al mismo canal visitado por la máquina infectada. En forma adicional, el script provee acceso al disco local de la PC infectada, a cualquier usuario de IRC que tecleara determinado comando en el canal infectado.

El gusano, también realiza otros cambios en el registro, modificando las "Políticas del sistema", y logrando estos propósitos:

  •  Deshabilitar el escritorio
  •  Deshabilitar la caja de diálogo de "Buscar"
  •  Deshabilitar la caja de diálogo de las propiedades de red
  •  Eliminar la opción "Apagar el sistema" del menú de Inicio
  •  Cambiar la información de registración de Windows por la siguiente:

    Usuario: I Love You, Min
    Organización: GinsengBoy® 2000

Para restaurar la configuración correcta, los valores del registro deben ser restaurados, o una copia de respaldo debe ser reinstalada.

Solo se recomiendan los cambios manuales al registro, usando la utilidad REGEDIT.EXE, a usuarios con experiencia, ya que luego de cualquier uso indebido o error en el manejo del registro, Windows deberá ser reinstalado.

Las siguientes claves deben ser removidas del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\GinSenG
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoNetSetup
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose

Las siguientes claves deben ser cambiadas por los valores correctos:

HKLM\Software\Microsoft\Windows\CurrentVersion\Version

Versión de Windows (por ejemplo "Windows 98").

HKLM\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner

Nombre del usuario (a quien está registrado Windows)

HKLM\Software\Microsoft\Windows\CurrentVersion\RegisteredOrganization

Nombre de la organización (a quien está registrado Windows)

 

Copyright 1996-2000 Video Soft BBS