Asunto: We had fine time ;o)

Texto:
Hi:
CheckThis!

Datos adjuntos: 100_4X~1.SCR

El gusano posee una destructiva rutina que puede sobrescribir con su código, todos los archivos con las siguientes extensiones:

VBS
VBE

Los archivos originales son irrecuperables.

El gusano también puede propagarse a través de los canales de chat (IRC), utilizando tanto el mIRC como el Pirch como programas clientes de IRC.

Tanto recibido en un mensaje, o a través de un canal de IRC, si el usuario ejecuta el adjunto, entonces el virus se activa, creando primero un archivo INFO.VBS en el raíz de la unidad C:

En el mismo directorio, el virus se copia a si mismo como 100_4X~1.SCR

Luego, se crean las siguientes entradas en el registro, de modo que el gusano se ejecute en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
Syskey = "c:\info.vbs"

HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Runonce
Syskey = "c:\info.vbs"

Cuando se ejecuta el archivo INFO.VBS file, se crea la siguiente entrada en el registro:

HKEY_CURRENT_USER\Software
info = "Wb"

Después de esto, se copia en el directorio de Windows y luego crea la siguiente entrada en el registro, la cuál habilita al gusano en INFO.VBS a ejecutarse en el próximo reinicio de Windows: donde %Windows% normalmente es el directorio de Windows (C:\Windows o C:\WinNT de acuerdo a la versión):

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Label = "wscript.exe %Windows%\info.vbs %"

Luego el virus examina la siguiente entrada del registro en la cuál controla su rutina de envío. Si la información contenida en el registro es "1", entonces no ejecuta su rutina de envío masivo.

HKEY_CURRENT_USER\Software\info\mailed

En caso contrario, el virus abre la libreta de direcciones de la máquina actual, y envía un mensaje infectado a cada uno de los contactos allí obtenidos.

Luego escribe un "1" en dicha rama del registro, con lo cuál el gusano no volverá a enviarse vía e-mail.

Luego, el gusano lee la siguiente rama del registro:

HKEY_CURRENT_USER\Software\info\mirqued

Si el valor no es "1", entonces se busca el archivo MIRC.INI. Si existe en C:\mirc o C:\mirc32, entonces se lee en la siguiente rama del registro, el camino de los archivos ejecutables.

HKLM\Software\Microsoft\Windows\CurrentVersion\Program
FilesDir

Si existe "%ProgramFiles%\mirc\MIRC.INI" se copia un archivo "%ProgramFiles%\mirc\SCRIPT.INI" con las instrucciones para el envío del gusano a través de los canales de IRC con el mIRC, en una copia del archivo 100_4X~1.SCR. Luego agrega el valor "1" a la siguiente entrada del registro:

HKEY_CURRENT_USER\Software\info\mirqued

El gusano también examina si ya ha sido enviado utilizando el Pirch. Para ello examina la siguiente rama del registro:

HKEY_CURRENT_USER\Software\info\pirched

Si no hay un "1", no ha sido enviado con el Pirch aún, entonces se chequea que el Pirch exista (PIRCH32.EXE) en la carpeta C:\pirch o C:\pirch32

El camino es tomado de la siguiente entrada del registro:

%ProgramFiles%\pirch\PIRCH32.EXE

Se examina si existe el archivo EVENTS.INI, que contiene las instrucciones para enviar una copia de 100_4X~1.SCR a todos los usuarios del mismo canal de IRC por los que navegue el usuario infectado.

En todos los casos, luego de enviarse el gusano, el valor correspondiente es puesto a "1" de modo que no volverá a reenviarse desde la misma máquina.

El gusano examina también todas las unidades de disco, incluso remotas, y sobreescribe todos los archivos con extensiones .VBS y .VBE con su propio código.

El cuerpo del gusano contiene el siguiente texto:

Vbs.Info Created By [Kipr]info-You should have respect to russian womenVbswg 1.50b

Limpieza manual del gusano

1. Pinche en Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

2. En el panel de la izquierda abra la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Runonce

3. En el panel de la derecha, borre el valor "Syskey"

4. En el panel de la izquierda, busque la siguiente clave:

HKEY_CURRENT_USER
Software

5. En el panel de la derecha, borre la siguiente entrada:

info = "Wb"

6. En el panel de la izquierda busque la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

7. En el panel de la derecha, busque y borre la siguiente entrada:

Label = "wscript.exe C:\Windows\info.vbs %"

8. En el panel de la izquierda, abra la siguiente rama:

HKEY_CURRENT_USER
Software
info

9. Pinche en la carpeta "info" y bórrela.

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Seleccione Inicio, Buscar, Archivos o carpetas

12. Teclee lo siguiente y pulse ENTER

INFO.VBS, 100_4X~1.SCR, INFO.VBS

13. Borre todos esos archivos si aparecen


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com