Asunto: Britney Spears Strikes again

Texto:
Can u belive it?! Britney Spears is the crazyest girl in 
the world, first the fucking words to the fans and now, 
the big sorry with an exclusive photo of her body. 
By the first time in Britney life, she apears ALL NAKED, 
but no sex, just her pretty body undecovered...
Don't lose, see the attachment...
Note: this isn't a more than 18 years old photo.
U can see it, it's a perfect body
Jangatz
___________________________________________________________
Britney Spears - the legend
To recive more exclusive photos, pls send a blanck email to 
nice_pics@egroups.com

Archivo adjunto: Britney.jpg.vbs (4,565 bytes)

Note la doble extensión. Si usted no tiene configurado Windows para ver todas las extensiones, se le mostrará en pantalla solamente la extensión .JPG, haciéndole pensar que se trata de un archivo de imágenes, cuando en realidad es un script de Visual Basic (.VBS) que se ejecutará si usted pincha sobre él, siempre que tenga activo el Windows Scripting Host (WSH).

Para configurar Windows para ver todas las extensiones y quitar el WSH, vea VSantivirus No. 231 - Año 5 - Sábado 24 de febrero de 2001, Algunas recomendaciones sobre los virus escritos en VBS.

Si usted abre el adjunto (doble clic sobre él), y el código del virus se activa, el virus se copia a si mismo al disco duro en estas ubicaciones:

C:\Windows\Britney.jpg.vbs 
C:\Windows\Config.dll.vbs

También modifica el registro de Windows para ejecutarse en el próximo reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Ptnet = C:\Windows\Config.dll.vbs

Cuando se reinicie el sistema, el gusano se envía a todos los contactos de la libreta de direcciones del Outlook. El mensaje enviado tiene las mismas características del recibido anteriormente.

También sobrescribe todos los archivos .VBS y .VBE en todas las unidades de disco locales y también aquellas compartidas en red.

Luego, el gusano busca el archivo MIRC.INI en las carpetas C:\Mirc, C:\Mirc32, y C:\Program Files\Mirc (esta última carpeta puede no existir en las versiones en español de Windows, por lo que la búsqueda queda restringida a las dos anteriores ubicaciones). Si lo encuentra, crea un archivo SCRIPT.INI en la misma carpeta del MIRC.INI, con el cuál es capaz de propagarse a través de los canales de chat a los que se conecte el usuario infectado.

El virus también agrega las siguientes entradas al registro:

HKEY_CURRENT_USER\Software\ptnet\mailed
HKEY_CURRENT_USER\Software\ptnet\mirqued

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

"Ptnet" " C:\Windows\Config.dll.vbs"

4. Pinche sobre el nombre "Ptnet" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Ptnet

6. Pinche sobre la carpeta "Ptnet" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Fuente: Symantec AntiVirus Research Center (SARC)


Ver también:
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS
17/dic/00 - Cinco dudas sobre el correo electrónico y los virus
02/dic/00 - ¿Extensiones de Archivo? ¿Y eso qué es?
26/nov/00 - Pautas generales para mantenerse alejado de los virus