Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Lee.D. Gusano de Visual Basic Script
 
VSantivirus No. 628 - Año 6 - Miércoles 27 de marzo de 2002

VBS/Lee.D. Gusano de Visual Basic Script
http://www.vsantivirus.com/lee-d.htm

Nombre: VBS/Lee.D
Tipo: Gusano de Visual Basic Script
Tamaño: 3,106 bytes
Fecha: 26/mar/02

Alias:

VBS_LEE.D
VBS/Anjulie.gen@MM 
I-Worm.Lee-Based 
Bloodhound.VBS.Worm

Una variante más de la familia Lee, gusano de Visual Basic Script que puede replicarse enviándose en mensajes infectados vía Outlook, o a través de los canales de IRC (Internet Relay Chat).

El mensaje infectado puede tener esta construcción:

Asunto: konnichiwa

Texto del mensaje:
konnichiwakono syashin mite ne!!!!!!

Datos adjuntos: syashin2.jpg.vbs

Se copia en el directorio \Windows, y además modifica la página de inicio del Internet Explorer. 

Cuando el usuario que recibe el mensaje, abre el archivo adjunto, se produce la infección. El gusano se copia a si mismo como SYASHIN2.JPG.VBS en la carpeta de Windows:

C:\Windows\syashin2.jpg.vbs

La doble extensión, permite engañar al usuario desprevenido, quien pensará se trata de una imagen de nombre syashin2.jpg, cuando en realidad es un ejecutable .VBS (script de Visual Basic).

Cuando este ejecutable es activado, el mismo se reenvía a todos los contactos de la libreta de direcciones.

El mensaje infectado tiene las mismas características del descripto antes.

También examina el registro para averiguar si está instalado el programa mIRC a los efectos de propagarse en los canales de chat compartidos por la víctima infectada.

Si localiza el programa, crea un archivo SCRIPT.INI conteniendo las instrucciones para poder enviar sus copias infectadas.

Por último, cambia la dirección por defecto de la pantalla de inicio del Internet Explorer por la siguiente:

http://it.geocities.com/windows2it/index.htm


Windows Scripting Host y Script Defender


Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Para eliminar el virus de un sistema infectado


1. Ejecute uno o más antivirus al día y borre los archivos identificados con el VBS/Lee.D.

2. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS