VSantivirus No. 589 - Año 6 - Sábado 16 de febrero de 2002
VBS/Numgame. ¡Sumamente destructivo!
http://www.vsantivirus.com/numgame.htm
Nombre: VBS/Numgame
Tipo: Gusano de Visual Basic Script
Alias: VBS/Numgame@MM, VBS/NumGame@mm, NUMGAME.A
Fecha: 14/feb/02
Tamaño: 21,194 (HTML), 12,972 (VBScript)
Plataforma: Windows
Este gusano, además de propagarse vía e-mail (se aprovecha del tema de San Valentín), posee una peligrosa rutina que puede borrar todo el contenido de su disco duro.
Puede llegar a nosotros en un mensaje no solicitado, con estas características:
Asunto: Are you [nombre del destinatario] my valentine?
Texto:
Hi [nombre del destinatario] my valentine, remember me?
I ain't seen you in ages! Anyway, check-out and play the
attached guess-the-number-game to guess who I am.
See you soon, bye-bye!
Archivo adjunto (una de estas opciones):
GuessGame.html
GuessGame.vbe
La versión HTML del gusano, se asemeja a una página Web. Si el usuario ejecuta el .VBE o intenta visualizar el .HTML, una serie de ventanas aparecerá:
Al usuario se le muestra entonces una ventana con el siguiente contenido:
VBScript: Guess Game
Guess Game instructions:
1. Save it on your computer Desktop or in My Documents,
don't open as attachment else it won't load.
2. This game requires ActiveX technology, press Yes on
the following dialog to play.
[ OK ]
Al pulsar en el botón [OK], una ventana de advertencia de Windows aparecerá. La ejecución del código viral solo será posible si el usuario contesta también que
[SI] a la siguiente opción:
Internet Explorer
Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?
[ Si ] [
No ]
Si no se acepta, el gusano no podrá copiarse. En caso contrario, continuará con el siguiente proceso:
Si el archivo adjunto es el HTML, el código del virus embebido en este archivo creará y ejecutará en el disco de la víctima, el archivo
"GuessGame.vbe". Si el adjunto es el .VBE, directamente se ejecuta este archivo, que es el código del gusano.
Cuando se ejecuta el .VBE, el gusano se copia a si mismo en la carpeta
SYSTEM de Windows.
En concreto, son creados los siguientes archivos:
C:\Windows\System\GuessGame.vbe
C:\Windows\System\GuessGame.vbs
C:\Windows\System\GuessGame.bat
El gusano intenta entonces enviarse vía e-mail a otras futuras víctimas, tomadas de la libreta de direcciones de la computadora infectada.
Dependiendo si el adjunto era el HTML o el VBE, intentará enviar como adjunto el archivo HTML en el primer caso, o directamente el VBE en el segundo.
El gusano crea también una copia del archivo .VBE como "GuessGame.VBS" en la carpeta
SYSTEM (puede permanecer allí latente antes de actuar, por varios días). El archivo en Visual Basic Script tiene las rutinas para modificar el registro usadas por el gusano.
También crea un archivo de proceso por lotes llamado "GuessGame.bat" en la misma carpeta, y lo ejecuta en una ventana en modo MS-DOS. La ejecución de este .BAT cambia la fecha de Windows a la del
8 de abril de 1981.
Crea dos entradas en el registro de Windows que quitan algunas de sus funcionalidades, la primera deshabilita la acción del
SFC (el Comprobador de archivos de sistema) para recuperar archivos modificados o borrados (Windows 98, 2000, Me y XP):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SFCDisable=0xFFFFFF9D
El valor de SFCDisable = 0 (CERO) por defecto.
La siguiente modificación, impide crear o modificar iconos y otros archivos en el escritorio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDesktop=1
El valor normal es CERO, o la eliminación de la clave
NoDesktop.
El gusano procede entonces a borrar todos los archivos y subdirectorios de las siguientes carpetas:
AllUsersDesktop
AllUsersPrograms
Desktop
MyDocuments
Programs
Windows
Windows\System
Temp
Windows\COMMAND
Windows\INF
Windows\SYSBCKUP
Windows\SYSTEM32
C:\
C:\My Documents
C:\Documents and Settings
C:\Program Files
C:\Inetpub
También borra este contenido en unidades conectadas en red.
Vuelve a crear y ejecutar el archivo "GuessGame.bat" en la carpeta
SYSTEM, y luego agrega su contenido a todos los archivos
AUTOEXEC.BAT encontrados tanto en la unidad C:\, como en todas las demás unidades de red compartidas, con la idea de ejecutar la rutina de borrado al iniciarse Windows (solo Windows 95 y 98).
Este BAT contiene las ordenes para borrar las carpetas vistas antes, así como todos los archivos que tengan las siguientes extensiones:
sys
dll
ocx
cpl
dat
com
exe
cab
ini
inf
vxd
drv
doc
xls
mdb
ppt
mp3
jpg
txt
htm
html
hta
asp
aspx
Borra también las siguientes ramas del registro:
HKCU\Control Panel\
HKCU\InstallLocationsMRU\
HKCU\Software\Microsoft\Internet Explorer\
HKCU\Software\Microsoft\Office\
HKCU\Software\Microsoft\Windows\
HKCU\Software\ODBC\
HKLM\Enum\
HKLM\Software\Microsoft\Internet Explorer\
HKLM\Software\Microsoft\Office\
HKLM\Software\Microsoft\Windows\
HKLM\System\
El gusano lanza entonces al usuario, una ventana para participar en un juego de adivinanzas de números (tenga en cuenta sin embargo, que cuando esto último ocurra, ya habrán sido borrados archivos críticos de Windows):
Las ventanas son:
Guess Game
I have thought of a number ranging from 1 to 100 you tries
to guess it.
[ OK ]
Al pulsar en [OK], saldrá la última ventana, donde podremos ingresar nuestra apuesta:
Guess Game
Enter you guess. (1 to 100)
Tries left: 10
[
]
Métodos de limpieza
Limpiar un sistema infectado manualmente, solo será posible si la rutina de borrados de archivos no se ha producido. En caso contrario, la única forma de volver a tener Windows funcionando en una máquina que ya ha sido infectada, será con la instalación limpia de todos los programas, Windows incluido. Luego, podrá recuperar datos importantes de su unidad de respaldo (si no posee una unidad de respaldo, ignore esto).
Si la rutina del gusano no se ha ejecutado, proceda a eliminar los restos del gusano, todavía peligrosos. Simplemente, desde Inicio, Buscar, Archivos y
carpetas, escriba "GuessGame" (sin las comillas) y pulse Enter. Borre luego todos los archivos que aparezcan con ese nombre.
Borre todos los mensajes con el asunto "Are you [su nombre] my
valentine?".
Si los cambios vistos en el registro se han producido, cambie por los valores mencionados antes en esta descripción, aunque es poco probable funcione Windows, si ya se produjo la modificación en el registro. Tenga en cuenta además que existen otras modificaciones (borrados) de claves importantes que harán imposible el reinicio de Windows.
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora (solo en el caso de que aún no se haya activado su rutina destructiva), deberá deshabilitar antes de cualquier acción, la herramienta
"Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|