Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

VBS/Pinprick.A. Adjunto: "Winhtm32.html"
 
VSantivirus No. 1076 Año 7, Miércoles 18 de junio de 2003

VBS/Pinprick.A. Adjunto: "Winhtm32.html"
http://www.vsantivirus.com/pinprick-a.htm

Nombre: VBS/Pinprick.A
Tipo: Gusano de Internet (VBS)
Alias: VBS.Pinprick@mm, Bloodhound.VBS.Worm, VBS/Pinprick@mm, I.worm.pinprick.@mm
Fecha: 17/jun/03
Plataforma: Windows 32-bit

Gusano que se propaga masivamente por correo electrónico e infecta archivos con extensión .HTM y .VBS. Utiliza Microsoft Outlook u Outlook Express para propagarse. El correo viene con asunto variable, un texto cualquiera extraído de otros mensajes ya enviados por el usuario infectado, y un adjunto de nombre Winhtm32.html.

El mensaje recibido tiene uno de estos asuntos:

Backup data
Email changes
File backup
Hello
Jokes
Just a reply
MP3s
New document
New domain
New download
New email
New file
New login
New password
New sign up
New spreadsheet
New webpage
Nothing Special
Notice
Password confirmation
Re:
Reminder
Some documents
Some news
Some notes
Uninstall information
Webpage builder

El asunto también puede estar formado por la combinación de los elementos [A] + [B], donde [A] es una de las siguientes palabras:

Business
Confidential
Email
Printer
Web
Webpage

y [B] una de estas:

documents
files
folders
guides
notes
overview
passwords
scripts
spreadsheets
summary
tools

Por ejemplo:

Email documents
Web folders

El texto del cuerpo del mensaje es extraído de otros mensajes ya enviados por el usuario infectado, tomados de la bandeja de "Elementos enviados" del programa de correo. Esto hace que muchas veces el usuario sea engañado más fácilmente para abrir el adjunto, ya que puede tratarse de un tema afín y por lo general en su idioma, o que al menos despierte su curiosidad.

Datos adjuntos: Winhtm32.html

Cuando se abre el adjunto, se ejecuta el script de Visual Basic y el gusano se envía a si mismo a todos los contactos de la libreta de direcciones de Windows, utilizando las funciones MAPI del programa de correo instalado. MAPI (Messaging Application Programming Interface) es una interface de programación para aplicaciones que gestionan correo electrónico, servicios de mensajería, trabajos en grupo, etc.

También se copia en las carpetas de inicio de Windows:

Carpetas de inicio por defecto:

Windows 95, 98 y Me:

C:\WINDOWS\Menú Inicio\Programas\Inicio\Winwsh32.vbs

Windows XP y 2000:

C:\Documents and Settings
\[usuario]\Menú Inicio\Programas\Inicio\Winwsh32.vbs

Windows NT:

C:\WinNT\Profiles
\[usuario]\Menú Inicio\Programas\Inicio\Winwsh32.vbs

Y en la carpeta de Windows:

c:\windows\Login32.vbs
c:\windows\Winmsgc.vbe
c:\windows\Winmsgc32.vbs
c:\windows\Winmsgc.vbe

NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).

Se agrega luego a todos los archivos con extensión .VBS, .HTM y .HTML, los que busca en todas las carpetas de todos los discos duros locales y unidades compartidas en red.

Un error en su código, hace que el gusano falle en ocasiones al intentar agregarse a los mensajes que envía.


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Repare (y borre) los archivos detectados como infectados


Borrar los archivos creados por el gusano.

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"

3. En "Nombre" ingrese (o corte y pegue), lo siguiente:

Winhtm32.html; Winwsh32.vbs; Login32.vbs;
Winmsgc.vbe; Winmsgc32.vbs; Winmsgc.vbe

4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione "Todos los archivos y carpetas"

3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:

Winhtm32.html; Winwsh32.vbs; Login32.vbs;
Winmsgc.vbe; Winmsgc32.vbs; Winmsgc.vbe

4. Verifique que en "Buscar en:" esté seleccionado "C:"

5. Pinche en "Más opciones avanzadas"

6. Seleccione "Buscar en carpetas del sistema"

7. Seleccione "Buscar en subcarpetas"

8. Haga clic en "Búsqueda" y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Información adicional

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS