|
VSantivirus No. 628 - Año 6 - Miércoles 27 de marzo de 2002
VBS/Lee.D. Gusano de Visual Basic Script
http://www.vsantivirus.com/lee-d.htm
Nombre: VBS/Lee.D
Tipo: Gusano de Visual Basic Script
Tamaño: 3,106 bytes
Fecha: 26/mar/02
Alias:
VBS_LEE.D
VBS/Anjulie.gen@MM
I-Worm.Lee-Based
Bloodhound.VBS.Worm
Una variante más de la familia Lee, gusano de Visual Basic Script que puede replicarse enviándose en mensajes infectados vía Outlook, o a través de los canales de IRC (Internet Relay Chat).
El mensaje infectado puede tener esta construcción:
Asunto: konnichiwa
Texto del mensaje:
konnichiwakono syashin mite ne!!!!!!
Datos adjuntos: syashin2.jpg.vbs
Se copia en el directorio \Windows, y además modifica la página de inicio del Internet Explorer.
Cuando el usuario que recibe el mensaje, abre el archivo adjunto, se produce la infección. El gusano se copia a si mismo como
SYASHIN2.JPG.VBS en la carpeta de Windows:
C:\Windows\syashin2.jpg.vbs
La doble extensión, permite engañar al usuario desprevenido, quien pensará se trata de una imagen de nombre
syashin2.jpg, cuando en realidad es un ejecutable .VBS (script de Visual Basic).
Cuando este ejecutable es activado, el mismo se reenvía a todos los contactos de la libreta de direcciones.
El mensaje infectado tiene las mismas características del descripto antes.
También examina el registro para averiguar si está instalado el programa mIRC a los efectos de propagarse en los canales de chat compartidos por la víctima infectada.
Si localiza el programa, crea un archivo SCRIPT.INI conteniendo las instrucciones para poder enviar sus copias infectadas.
Por último, cambia la dirección por defecto de la pantalla de inicio del Internet Explorer por la siguiente:
http://it.geocities.com/windows2it/index.htm
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones
.VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Para eliminar el virus de un sistema infectado
1. Ejecute uno o más antivirus al día y borre los archivos identificados con el
VBS/Lee.D.
2. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|