Asunto: Where are you?
Texto: This is my pic in the beach!
Archivo adjunto: JENNIFERLOPEZ_NAKED.JPG.vbs

El adjunto, de 17 Kb, puede parecer una imagen (archivo .JPG) si tenemos la configuración estándar de Windows que oculta la extensión del verdadero ejecutable (.VBS).

Si el usuario abre el adjunto con un doble clic, el virus modifica la siguiente rama del registro:

HKCU\Software\Microsoft\Windows Scripting Host\Settings
Timeout = 0

Este valor asegura que el virus cumpla todas sus acciones.

Luego, examina todas las unidades de disco duro locales y las compartidas en red, para sobrescribir con su propio código todos los archivos encontrados con las siguientes extensiones:

.VBS
.VBE
.JS
.JSE
.CSS
.WSH
.SCT
.HTA

También sobrescribe los archivos con las siguientes extensiones:

.JPG
.JPEG
.MP3
.MP2

Luego los copia agregándoles la extensión .VBS:

.JPG.vbs
.JPEG.vbs
.MP3.vbs
.MP2.vbs

Por ejemplo, un archivo llamado IMAGEN.JPG quedaría finalmente como IMAGEN.JPG.vbs.

Los archivos originales MP3 y MP2 son ocultados de la vista estándar, cambiando sus atributos a ocultos (+H).

Luego modifica nuevamente el registro:

HKCU\software\JENNIFFERLOPEZ_NAKED
"Worm made in algeria"

También se copia a si mismo a la carpeta de Windows (por defecto C:\Windows):

C:\Windows\JENNIFERLOPEZ_NAKED.JPG.vbs

Y modifica la siguiente rama del registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WORM = C:\Windows\JENNIFERLOPEZ_NAKED.JPG.vbs

Esto ejecuta el virus en cada reinicio del sistema.

El gusano es capaz de enviarse a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.

Luego del envío, crea la siguiente rama del registro con el valor "1" para no volverse a enviar por segunda vez:

HKCU\software\JENNIFFERLOPEZ_NAKED
mailed = 1

El virus también libera el virus CIH copiándolo en la carpeta de Windows (C:\WINDOWS en una instalación estándar) y luego lo ejecuta:

C:\Windows\Cih_14.exe

Este archivo posee el virus Win95.CIH.1019, una variante del CIH, la cuál intentará sobrescribir sectores del disco duro y borrar con basura la memoria Flash BIOS el día 26 de cada mes. Este virus es sumamente peligroso, ya que su rutina destructiva sobrescribe una parte importante del disco con ceros, haciendo muy difícil su recuperación, y al borrar la información del BIOS, se hace imposible el inicio de la computadora. En la mayoría de los casos esto significa el cambio del mother.


Como sacar el virus de un sistema infectado

IMPORTANTE: Primero, debe ejecutar la herramienta KILL_CIH, *ANTES* de intentar poner al día sus definiciones de anti-virus o de escanear su sistema con cualquier antivirus. Si usted intenta escanear con cualquier anti-virus, antes de ejecutar esta herramienta, correrá el riesgo de causar que la infección se extienda, debido a las características del W95.CIH. La herramienta KILL_CIH de Symantec es gratuita, y está diseñada para descubrir y eliminar en forma segura todas las versiones conocidas del virus W95.CIH de la memoria, bajo Windows 95 o Windows 98. Puede bajarlo, de nuestro sitio del área "Otro software".

Recuerde que KILL_CIH no descubre o quita el W95.CIH virus de los archivos, para ello deberá usar cualquier antivirus actualizado.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: 

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "Run". En el panel de la derecha debería ver algo como:

WORM        "C:\Windows\JENNIFERLOPEZ_NAKED.JPG.vbs"

4. Pinche sobre el nombre "WORM" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows Scripting Host
Settings

6. Pinche sobre la carpeta "Settings". En el panel de la derecha debería ver algo como:

Timeout         "0"

7. Pinche sobre el nombre "Timeout" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Si no han sido borrados, borre ahora los siguientes archivos:

C:\Windows\Cih_14.exe
C:\Windows\JENNIFERLOPEZ_NAKED.JPG.vbs

Las demás modificaciones en el registro no son importantes.

Tenga en cuenta que los archivos con las extensiones VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP3, MP2, serán borrados por el virus, debiéndose recuperar de un respaldo.

Es recomendable volver a ejecutar un par de antivirus luego de este proceso (incluido antes el KILL_CIH).


Información complementaria

Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:

• En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
• En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
• En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Ver también:

VSantivirus No. 287 - 21/abr/01
W95/CIH. Descripción del virus y algunas herramientas

VSantivirus No. 102 - 7/abr/00
El W95.CIH a fondo

VSantivirus No. 103 - 4/may/00
Virus: Love-Letter

VSantivirus No. 104 - 7/may/00
Especial sobre el LoveLetter


Fuente: Central Command
(c) Video Soft - http://www.videosoft.net.uy