|
VSantivirus No. 819 - Año 6 - Viernes 4 de octubre 2002
VBS/Pelic. Se propaga a través del IRC y de KaZaa
http://www.vsantivirus.com/pelic.htm
Nombre: VBS/Pelic
Tipo: Gusano de Visual Basic Script
Alias: VBS.Pelic.Worm, IRC.Worm.Generic
Fecha: 1/oct/02
Plataforma: Windows 32-bits
Tamaño: 7,915 bytes
Este gusano se propaga por los canales de chat a través del mIRC, además de archivos compartidos de la red Peer-To-Peer KaZaa.
Cuando se ejecuta, también intenta borrar archivos de conocidos programas antivirus que estuvieran instalados en la máquina infectada.
El gusano añade una línea al archivo SCRIPT.INI del mIRC para propagarse a través de los canales de IRC.
Al conectarse un usuario infectado al mismo canal que estamos conectados, podemos recibir el siguiente mensaje:
hola , soy francisco , quieres tener todas las peliculas que quieras ver!
Entonces, crea el siguiente archivo:
C:\Windows\All_acces_videos.exe.vbs
Luego, crea las siguientes copias de sí mismo, con diferentes nombres, en las siguientes ubicaciones guardadas literalmente en el código del gusano:
C:\Windows\autoexec.bat.vbs
C:\Program Files\KaZaA\My Shared Folder\Sex-free.exe.vbs
C:\ARCHIV~1\KaZaA\My Shared Folder\Windows-xp-full-edition.exe.vbs
C:\ARCHIV~1\KaZaA\My Shared Folder\Shakira-sex-anal.jpg.vbs
C:\Program Files\KaZaA\My Shared Folder\Mix-brazil.mp3.vbs
C:\ARCHIV~1\KaZaA\My Shared Folder\Porto-seguro.mp3.vbs
C:\ARCHIV~1\KaZaA\My Shared Folder\Asereje.mp3.vbs
C:\ARCHIV~1\KaZaA\My Shared Folder\Quake 2.exe.vbs
C:\ARCHIV~1\KaZaA\My Shared Folder\Half-life_complete_version.zip.vbs
C:\Windows\Quake2.exe.vbs
C:\Windows\all_acces_videos.exe.vbs
C:\Windows\kazaa\all_acces_videos.exe.vbs
C:\Windows\kazaa\sex_all.exe.vbs
C:\Windows\kazaa\quake2_full_version.exe.vbs
El gusano también busca la presencia de conocidos antivirus en el directorio de archivos de programas, para intentar eliminarlos.
Luego, modifica el archivo AUTOEXEC.BAT añadiendo las siguientes líneas:
Finalmente, examina las unidades de disco C, D, y E en busca de archivos de configuración del mIRC para infectar. En el caso de que el mIRC esté instalado en alguna de esos discos, se agregan las siguientes líneas al archivo SCRIPT.INI:
Dicho código le permite al gusano, infectar a otros usuarios cada vez que se establezca una conexión a un canal de IRC.
También agrega el siguiente valor al registro de Windows, como marca de infección:
HKEY_CURRENT_USER\software\Legion\sistem
infected
Si cuando se ejecuta, ese valor ya existe (una infección o ejecución anterior del gusano), entonces sobrescribe todos los archivos con extensión .HTML, .HTT, y .HTM, suplantando el contenido original por su propio código.
Para propagarse a través del KaZaa, el gusano modifica la siguiente clave del registro:
HKCU\Software\Kazaa\LocalContent
DisableSharing = 00000000
El IRC y los virus
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Vea también:
VSantivirus No. 395 - 7/ago/01
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: Tools > Options.
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Método para revisar Autoexec.bat
Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.
Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse OK.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat
3. Borre todas las líneas que contengan el comando FORMAT si ésta existiera:
4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|