Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Petik.I. Asunto: What is the seven sins ??
 
VSantivirus No. 704 - Año 6 - Martes 11 de junio de 2002

 VBS/Petik.I. Asunto: What is the seven sins ??
http://www.vsantivirus.com/petik-i.htm

Nombre: VBS/Petik.I
Tipo: Gusano de Visual Basic Script
Alias: VBS_PETIK.I, I-Worm.Petik.I
Fecha: 9/jun/02
Plataforma: Windows
Tamaño: 3,626 bytes

Este gusano, además de enviarse masivamente vía correo electrónico, es capaz de deshabilitar el mouse y el teclado de la máquina infectada.

El gusano, puede llegar en un mensaje como este:

Asunto: What is the seven sins ??
Texto: Look at this file and learn them.
Datos adjuntos: Seven.vbs

Utiliza el Outlook y Outlook Express para propagarse.

Cuando el usuario ejecuta el adjunto SEVEN.VBS, el gusano crea tres copias de si mismo en las siguientes ubicaciones (C:\Windows, C:\Windows\System y C:\Windows\TEMP pueden cambiar de acuerdo al sistema operativo):

C:\Windows\SEVEN.VBS
C:\Windows\System\ENVY.VBS
C:\Windows\TEMP\LUST.VBS

Crea las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Envy = C:\Windows\System\ENVY.VBS

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Lust = C:\Windows\TEMP\LUST.VBS

El gusano contiene estas rutinas que se ejecutan de acuerdo a la fecha:

Si la fecha del sistema es 1, 15 o 30 de cualquier mes, crea la siguiente entrada en el registro que deshabilita el ratón al reiniciarse Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Anger = rundll32 mouse,disable

Si la fecha es 12 o 28 de cualquier mes, muestra el siguiente mensaje y luego apaga la computadora:

Seven

You're tired now
Switch off you're Computer

Si la fecha es 14 de cualquier mes, muestra el siguiente mensaje y luego deshabilita el teclado:

Seven

The keyboard is on strike!

Si la fecha es 5 o 17 de cualquier mes, modifica las siguientes entradas del registro, de modo que cuando el usuario desea abrir un archivo .TXT, se ejecuta el script SEVEN.VBS:

HKEY_CURRENT_USER\txtfile\shell\open\command
(Predeterminado) = wscript C:\Windows\Seven.vbs

También hace la siguiente modificación, para todos los archivos .VBS muestren el icono correspondiente a los archivos TXT:

HKEY_CURRENT_USER\VBSfile\DefaultIcon
(Predeterminado) = shell32.dll,-152
oldicon = C:\Windows\Wscript.exe,2

Finalmente, crea el archivo COPYRIGHT.TXT.VBS en el escritorio y en el directorio C:\Windows. Cuando el usuario hace doble clic sobre dicho archivo, el siguiente mensaje es mostrado:

VBS.Seven.A

You're infected by my new Worm

By Petik(c)2001

El gusano infecta todos los archivos .VBS encontrados en cada carpeta y subcarpetas del sistema infectado, de los discos locales y las unidades compartidas en red.

Para infectarlos, inserta tres líneas al final de los mismos, que contienen las instrucciones para ejecutar el archivo SEVEN.VBS ubicado en C:\Windows. También inserta al comienzo del .VBS infectado, la siguiente línea que usa como marca de infección para no volver a infectar el mismo archivo:

'VBS.Seven.A.

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Repare los archivos detectados como infectados

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Envy

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

8. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

Lust

9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\txtfile
\shell
\open
\command

10. Pinche en la carpeta "command" y en el panel de la derecha haga doble clic sobre "(Predeterminado)", modificando el valor actual por lo siguiente:

C:\Windows\NOTEPAD.EXE %1

C:\Windows puede variar de acuerdo al sistema operativo (C:\WinNT, etc.)

11. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\VBSfile
\DefaultIcon

12. Pinche en la carpeta "DefaultIcon" y en el panel de la derecha haga doble clic sobre "(Predeterminado)" y "oldicon", modificando el valor actual en ambos casos por el siguiente:

C:\Windows\Wscript.exe,2

C:\Windows puede variar de acuerdo al sistema operativo (C:\WinNT, etc.)

13. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

14. Borre el archivo COPYRIGHT.txt.vbs del directorio Windows y del escritorio.

15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS