|
VSantivirus No. 860 - Año 7 - Jueves 14 de noviembre de 2002
VBS/Lava. Caballo de Troya de Visual Basic Script
http://www.vsantivirus.com/lava.htm
Nombre: VBS/Lava
Tipo: Caballo de Troya de Visual Basic Script
Alias: VBS.Lava, VBS/Larva, VBS/Lava
Fecha: 13/nov/02
Plataforma: Windows 32-bits
Tamaño: 4,505 bytes
Este troyano, escrito en Visual Basic Script, debe ser descargado y ejecutado premeditadamente por el usuario. No tiene características de gusano, o sea que no puede propagarse por si solo a otras máquinas. Aunque si puede hacerlo a través de la descarga del propio gusano (con diferentes nombres), de la red de intercambio de archivos KaZaa.
Pero luego la víctima debe ser engañada para que lo ejecute pensando se trata de algo inocente.
Cuando lo hace, el troyano intenta borrar archivos de conocidos antivirus.
También crea numerosas copias de si mismo en el sistema.
Primero se copia como "C:\Windows\Sooolazo.vbs" y
"C:\WinNT\Sooolazo.vbs". Estos caminos y nombres están escritos literalmente en el código del troyano, por lo que de no existir dichas carpetas, o tener otros nombres, el troyano no se copiaría.
Si alguna de las siguientes carpetas está presente en el sistema, el script intentará borrar todos los archivos de dichas carpetas:
C:\AntiViral Toolkit Pro
C:\Program Files\Command Software\F-PROT95
C:\Program Files\McAfee\VirusScan
C:\Program Files\Norton AntiVirus
C:\Toolkit\FindVirus
C:\Program Files\Panda Software\Panda Antivirus Titanium
Luego, el script se copia también en los siguientes archivos:
C:\Program Files\Morpheus\My Shared Folder\CristinaAguilera.Jpg.vbs
C:\Program Files\Morpheus\My Shared Folder\AVP-Spanish Patch.Zip.VBS
C:\Program Files\Morpheus\My Shared Folder\Norton Antivirus 2002 Crack.Zip.vbs
C:\Program Files\Morpheus\My Shared Folder\SilviaSaintDoubleAnalAction.jpg.vbs
C:\Program Files\Morpheus\My Shared Folder\Panda Titanium Crack.zip.vbs
C:\Program Files\Morpheus\My Shared Folder\LasKetChupXXX.jpg.vbs
C:\Archiv~1\Morpheus\My Shared Folder\CristinaAguilera.Jpg.vbs
C:\Archiv~1\Morpheus\My Shared Folder\AVP-Spanish Patch.Zip.VBS
C:\Archiv~1\Morpheus\My Shared Folder\Norton Antivirus 2002 Crack.Zip.vbs
C:\Archiv~1\Morpheus\My Shared Folder\SilviaSaintDoubleAnalAction.jpg.vbs
C:\Archiv~1\Morpheus\My Shared Folder\Panda Titanium Crack.zip.vbs
C:\Archiv~1\Morpheus\My Shared Folder\LasKetChupXXX.jpg.vbs
C:\Program Files\KaZaA\My Shared Folder\CristinaAguilera.Jpg.vbs
C:\Program Files\KaZaA\My Shared Folder\AVP-Spanish Patch.Zip.VBS
C:\Program Files\KaZaA\My Shared Folder\Norton Antivirus 2002 Crack.Zip.vbs
C:\Program Files\KaZaA\My Shared Folder\SilviaSaintDoubleAnalAction.jpg.vbs
C:\Program Files\KaZaA\My Shared Folder\Panda Titanium Crack.zip.vbs
C:\Program Files\KaZaA\My Shared Folder\LasKetChupXXX.jpg.vbs
C:\Archiv~1\KaZaA\My Shared Folder\CristinaAguilera.Jpg.vbs
C:\Archiv~1\KaZaA\My Shared Folder\AVP-Spanish Patch.Zip.VBS
C:\Archiv~1\KaZaA\My Shared Folder\Norton Antivirus 2002 Crack.Zip.vbs
C:\Archiv~1\KaZaA\My Shared Folder\SilviaSaintDoubleAnalAction.jpg.vbs
C:\Archiv~1\KaZaA\My Shared Folder\Panda Titanium Crack.zip.vbs
C:\Archiv~1\KaZaA\My Shared Folder\LasKetChupXXX.jpg.vbs
Luego, el script se agrega al registro de Windows para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LARVA = C:\Windows\sooolazo.vbs (o C:\WinNT\sooolazo.vbs)
También agrega las siguientes líneas al archivo
"C:\Autoexec.bat", que se ejecuta al reiniciarse la computadora (Windows 9x).
@Start C:\windows\sooolazo.vbs>nul
@Start C:\winnt\sooolazo.vbs>nul
cls
Después que el script se ejecuta, se despliega una ventana de mensajes con el siguiente texto:
LVG
Error 421 Kernel32.dll
[ Aceptar ]
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: Tools > Options.
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
LARVA
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Método para revisar Autoexec.bat
Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
* Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse OK.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de
c:\autoexec.bat
3. Borre todas las líneas que contengan lo siguiente:
@Start C:\windows\sooolazo.vbs>nul
@Start C:\winnt\sooolazo.vbs>nul
4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
15/nov/02 - Alias: VBS/Larva, VBS/Lava
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|