Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Ketip.A@mm. Sobrescribe archivos vitales de Windows
 
VSantivirus No. 300 - Año 5 - Viernes 4 de mayo de 2001

Nombre: VBS/Ketip.A@mm
Tipo: Gusano de Visual Basic Script
Fecha: 25/abr/01

Este gusano, escrito en Visual Basic Script, llega en un mensaje con formato HTML con el asunto "Important Message From Microsoft Corporation". Para propagarse utiliza Microsoft Outlook e intenta utilizar clientes IRC. El virus es capaz de enviar mensajes con formato HTML a todas los contactos de la libreta de direcciones.

El script incluido en el código HTML, intentará enviar información robada de la computadora infectada, a un par de direcciones de e-mail.

También puede sobrescribir archivos vitales, causando la inestabilidad del sistema y la falla de Windows.

Cuando se abre el mensaje recibido y se ejecuta su código HTML, el script de VBS realiza las siguientes acciones:

1. Se copia a si mismo en esta ubicación:

C:\Windows\Petik.txt.vbs

La segunda extensión (.VBS) puede permanecer invisible si la configuración de Windows está seteada por defecto. (Ver "Información complementaria").

2. Agrega la siguiente clave en el registro de Windows para poder activarse en cada reinicio de la computadora:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Petik = C:\Windows\System\Petik.txt.vbs

3. Envía el siguiente mensaje con formato HTML a todos los contactos de la libreta de direcciones del Outlook. Este mensaje es igual al recibido que causó la infección:

Asunto: Important Message From Microsoft Corporation
Texto: "This message has permanent errors. <br>Sorry<br>"

El HTML contiene un script de Visual Basic (VBS), el cuál intentará crear el archivo C:\Windows\Worm.vbs, pero esta acción falla debido a un error en el código.

4. El gusano intentará enviar luego información de la computadora infectada a las direcciones petik@caramail.com y ppetik@hotmail.com. Estos datos son (entre otros) fecha y hora de la infección, nombre de la computadora, lenguaje, sistema operativo, clave de registro, página de inicio y directorio de descarga de archivos del Internet Explorer, ubicación de carpetas vitales de Windows, etc.

5. Genera dos archivos .INI, relacionados con la configuración de dos conocidos clientes de IRC, el mIRC y el Pirch:

C:\Mirc\Mirc.ini
C:\Program Files\Pirch\Script.ini

Esto no funciona correctamente debido a un error en el código del gusano.

6. Sobrescribe con el propio gusano, los siguientes archivos con estas extensiones:

.vbs
.vbe
.js
.jse

7. Agrega la extensión .VBS (Ej.: .EXE.VBS) a los siguientes archivos, y los sobrescribe con su propio código:

.exe
.ini
.gif
.jpg
.htm

8. Coloca el atributo de oculto (+H) a los siguientes tipos de archivos:

.mp3
.doc
.xls
.ppt
.hlp

Como sacar el virus de un sistema infectado

Tenga en cuenta que si el proceso de infección se cumple, Windows no funcionará y deberá ser reinstalado, debido a que los ejecutables (.EXE) son sobrescritos por el virus.

1. Ejecute un antivirus al día, y borre los archivos que aparezcan infectados.

2. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

4. Pinche sobre la carpeta "RunServices". En el panel de la derecha, busque y borre la siguiente clave:

Petik        "C:\Windows\System\Petik.txt.vbs"

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Se aconseja deshabilitar las características de Java Script de los mensajes de correo.

En el caso del Outlook, vaya a Herramientas, Opciones. Seleccione la lengüeta "Seguridad". Pinche en "Zonas de seguridad", y luego pinche en "Zonas de sitios restringidos (más segura)". Pinche en ACEPTAR y confirme los cambios.

Fuente: Symantec AntiVirus Research Center (SARC)


Información complementaria

Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:

  • En Windows 95/98:
    Seleccione Mi PC, Menú Ver, Opciones (u Opciones de carpetas).

  • En Windows Me:
    Seleccione Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También recomendamos que MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Ver también:
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS

  

Copyright 1996-2001 Video Soft BBS