VSantivirus No. 399 - Año 5 - Sábado 11 de agosto de 2001
Nombre: VBS/Merlin.C@mm
Tipo: Gusano de Visual Basic Script
Fecha: 8/ago/01
Escrito en Visual Basic Scripting (VBS), este gusano puede propagarse a todos los contactos de la libreta de direcciones del
Outlook y Outlook Express, a través del correo electrónico.
Pero también puede propagarse a unidades compartidas de red, clientes de
IRC (1), y también a través del Gnotella, el cliente usado por el
Gnutella (2).
Su rutina principal intenta crear 10,000 carpetas con nombres al azar, en el raiz de C:, e incluye un archivo de texto en cada una de ellas.
Si se abre el mensaje recibido (o se lee en la vista previa), saldrá esta ventana:
Internet Explorer
Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?
[ Si ] [ No
]
Si usted selecciona SI, el gusano se activará, copiándose a si mismo a la carpeta
C:\Windows utilizando un nombre generado al azar.
Luego, libera el archivo C:\Windows\AnarchyCookBook.html y los siguientes archivos en la misma carpeta del gusano:
XXXPasswords.html
Pamela - SexVideo.avi.vbs
Silva Saint - Blowjob.avi.vbs
Britney Spears - Nude.jpg.vbs
Dante - Miss California.mp3.vbs
Silver - Turn the tide.mp3.vbs
Queen - Show must go on.mp3.vbs
R Kelly - Fiesta.mp3.vbs
Inari Vachs - Gangbang.avi.vbs
También modifica el registro, de modo que cada vez que se abra un archivo con las siguientes extensiones, se ejecute el gusano.
.js
.doc
.gif
.jpg
.hlp
.bmp
.avi
.mpg
.shs
.mp3
Luego, realiza los cambios necesarios para disminuir el nivel de seguridad de la computadora infectada.
Si existen otras computadoras compartiendo una red, el gusano se copia también en ellas.
Es capaz de borrar cualquier mensaje en la bandeja de entrada del Outlook Express, con los siguientes asuntos:
Fw: Microsoft Security Bulletin.
Windows XP Betatest
the requested document
Fw:Corel Joke
Fake Pics of Britney Spears
SARC Virus Warning
Hi :-)
Luego, se envía masivamente, en un mensaje con formato HTML, a todos los contactos de la libreta de direcciones.
El mensaje enviado tiene estas características:
Asunto: Puede incluir cualquiera de estos:
Fw: Microsoft Security Bulletin.
Windows XP Betatest
the requested document
Fw:Corel Joke
Fake Pics of Britney Spears
SARC Virus Warning
Hi :-)
Texto: You need ActiveX enabled if you want to see this e-mail. Please open this message again and click accept ActiveX. Microsoft
El gusano también intenta modificar el archivo
SCRIPT.INI, para poder propagarse en los canales de chat, a través del
mIRC.
También modifica el archivo Gnotella.ini para ignorar archivos con extensiones
.htm y .vbs para usuarios que se conecten a la computadora infectada a través de
Gnotella.
Luego, examina los archivos de la computadora infectada para realizar con ellos las siguientes acciones:
Si las extensiones son .htm o .html, se sobreescribe el contenido original copiando el archivo conteniendo el código del virus,
AnarchyCookBook.html, en su lugar.
También busca en el archivo, antes de sobrescribirlo, direcciones de correo (la etiqueta
mailto:), a las que también mandará sus mensajes infectados.
Si la extensión es .jpg o .mp3, el gusano borra estos archivos.
Si la extensión es .exe, .com, o .bat, el gusano cambia los atributos de estos archivos para que queden ocultos
(+H). Luego sobreescribe el archivo, y les agrega la extensión
.VBS.
Si la extensión es .vbs, .vbe, o .wsh, el gusano sobreescribe el archivo.
Luego de todo esto, el gusano intentará crear 10,000 carpetas
con nombres al azar, todas ellas colgando de la unidad C, y conteniendo un archivo de texto cada una.
También intentará descargar un archivo .EXE desde Internet.
Si este archivo es descargado, será copiado en la siguiente carpeta:
C:\Windows\System\Cih.exe
A los tres o más días después de ocurrida la infección, el gusano es capaz de modificar el archivo
AUTOEXEC.BAT con las instrucciones para borrar el contenido de la unidad
C la próxima vez que se reinicie la computadora.
También intentará borrar los siguientes archivos, que forman parte del registro de Windows:
C:\Windows\User.dat.
C:\Windows\System.dat.
Para quitar el gusano de una computadora infectada
Ejecute uno o dos antivirus al día, y borre los archivos infectados por
VBS/Merlin.C@mm.
Si el gusano se ha ejecutado, usted deberá recuperar archivos dañados o borrados por el virus, desde un respaldo anterior limpio. En algunos casos, deberá reinstalar Windows.
También deberá restablecer los atributos originales de los archivos
.exe, .com, o .bat.
Para ello, en una ventana DOS teclee lo siguiente (más Enter):
attrib -h -s
-r <Nombre y camino del archivo>
Puede recuperar el registro desde una copia anterior, o realizar manualmente los siguientes cambios:
1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
CLASSES
3. Colgando de CLASSES, busque las siguientes carpetas (una por vez).
.JS
.DOC
.GIF
.JPG
.HTT
.BMP
.AVI
.MPG
.SHS
.MP3
4. Por cada una de estas carpetas, haga doble clic en ella.
5. Por cada una de estas carpetas, seleccione en la ventana de la derecha el nombre
"(predeterminado)" y haga doble clic sobre él.
En la ventana de edición, en "Información del valor", reemplace el valor
"Eva" por el texto correcto, de acuerdo a la siguiente lista (estos son los valores por defecto. si usted instaló algún programa que modifica la asociación de archivos, deberá reinstalarlo para que vuelva a funcionar correctamente). Por ejemplo, para los archivos
.JS, deberá escribir en "Información del
valor": jsfile
Esta es la lista completa:
.JS cambiar por jsfile
.DOC cambiar por wordpad.document.1
.GIF cambiar por giffile
.JPG cambiar por jpegfile
.HTT cambiar por c
.BMP cambiar por paint.picture
.AVI cambiar por avifile
.MPG cambiar por mpegfile
.SHS cambiar por shellscrap
.MP3 cambiar por mp3file
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
CLASSES
VBSFile
7. En el panel de la derecha, borre el siguiente valor:
Editflags
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Abi2001
9. Pinche sobre "Abi2001" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrarla.
10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
11. En el panel de la derecha, borre las entradas que tengan alguna similitud con la siguiente (los nombres se generan al azar):
wscript.exe C:\Windows\AOIFLKDBNFOIFSDSFKLSDF.doc.vbs %
12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
13. En el panel de la derecha, haga doble clic sobre esta entrada:
Registered Owner
14. En la ventana "Información del
valor" borre "Abi2001 - Show Must Go On!" y coloque el suyo, o el del usuario registrado de Windows.
15. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
Office
9.0
Word
Security
16. En el panel de la derecha haga doble clic sobre el valor
"Level"
17. Reemplace el 1 por un 3, y pinche en Aceptar
18.
En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersions
Internet Settings
Zones
Seleccione cada una de las siguientes entradas, y por cada una de ellas, en el panel de la derecha, haga doble clic sobre el valor y reemplace el
1 por un 0 (cero).
En la carpeta "0" (bajo Zones), seleccione los siguientes valores:
1200
1201
1004
En la carpeta "1" (bajo Zones), seleccione los siguientes valores:
1200
1201
1004
En la carpeta "3" (bajo Zones), seleccione los siguientes valores:
1200
1201
1004
19. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
Windows Scripting Host
20. Borre la carpeta "Windows Scripting Host"
21. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Policies
Explorer
22. En el panel de la derecha, seleccione "NoDesktop" y bórrelo.
23. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
24. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar) y ejecute uno o dos antivirus al día.
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
Vea también:
VSantivirus No. 366 - 9/jul/01
Consejos: Outlook y Outlook Express más seguros
VSantivirus No. 349 - 22/jun/01
VBS/Merlin.A@mm. Simula ser una "prueba" de Windows XP
VSantivirus No. 385 - 28/jul/01
VBS/Merlin.B@mm. Puede obligar a reinstalar Windows
Glosario:
(1) IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.
(2) Gnutella - Es un popular programa, que como Napster, es usado para intercambiar archivos musicales (y otros tipos de archivos) entre usuarios, directamente de computadora a computadora, en lo que se llama tecnología P2P (Peer-To-Peer), utilizada para compartir archivos entre computadoras "punto a punto" (computadora a computadora, en lugar de computadora a servidor).
Fuente: AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy
|
