|
VSantivirus No. 728 - Año 6 - Viernes 5 de julio de 2002
VBS/Leole.A. Datos adjuntos: Cristo_Nos_Enseña.Doc.pif
http://www.vsantivirus.com/leole-a.htm
Nombre: VBS/Leole.A
Tipo: Gusano de Visual Basic Script
Alias: LEOLE.A, VBS_LEOLE.A
Fecha: 4/jul/02
Tamaño: 1,245 bytes
Plataforma: Windows 32-bits
Fuente: Trend
Este gusano, capaz de enviarse en forma masiva a través del correo electrónico, no posee carga destructiva.
El archivo 'Cristo_Nos_Enseña.Doc.Pif' es enviado a todos los contactos de la libreta de direcciones de cada una de sus víctimas, a través del Microsoft Outlook.
El mensaje infectado tiene estas características:
Asunto: Leelo y reenvialo a quienes aprecias.
Texto:
Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sueño se hara realidad.
Datos adjuntos: Cristo_Nos_Enseña.Doc.pif
Cuando el usuario abre con un doble clic el adjunto, el gusano se ejecuta y el archivo,
'Cristo_Nos_Enseña.Doc.pif' es copiado en el directorio
C:\Windows.
La doble extensión puede hacer pensar que se trata solo de un documento
(.DOC) cuando en realidad es un script ejecutable de Visual Basic
(.VBS). Esta segunda extensión puede permanecer oculta en una configuración por defecto de Windows.
El gusano verifica si el valor para la siguiente entrada del registro es
'cero', y en caso negativo sale sin hacer nada más:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
OFF = 0
Si la entrada ya estaba creada y su valor es
'0', entonces se envía masivamente en las condiciones mencionadas antes, un mensaje a todos los contactos de la libreta de direcciones de Windows. Utiliza para ello el campo
CCO, lo que hace que la lista de usuarios permanezca oculta para cada receptor del mensaje.
Se realice o no satisfactoriamente el envío del mensaje infectado, el gusano pone el valor '0' (cero) en la siguiente entrada:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
OFF = 0
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados por el virus
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
OFF
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones
.VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|