Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS.Satanik.Child. Se propaga vía e-mail, borra antivirus
 
VSantivirus No. 223 - Año 5 - Viernes 16 de febrero de 2001

Nombre: VBS.Satanik.Child
Tipo: Gusano de Visual Basic Script
Alias: Satanik

Se trata de código insertado en un mensaje con formato HTML.

La infección se produce al abrir dicho mensaje, en cualquier lector de correo que soporte formato HTML, o tan solo viéndolo en el panel de vista previa (Outlook, Outlook Express). No requiere ser abierto ningún archivo adjunto para poder causar la infección.

Existen al menos dos mensajes diferentes, ambos con fondo rojo, y texto con grandes letras, conteniendo lo siguiente:

Asunto: for my sweetheart
Texto:
I wanna fuck you like an animal! 

Asunto: I picked this one especially for you my = Sweetheart!
Texto:
Just for you, Kimmy

Cuando se ejecuta (requiere tener habilitado el Windows Scripting Host, el cuál se recomienda deshabilitar), el gusano crea los archivos EXPLORER32.VBS y EXPLORER.VBS en C:\WINDOWS\SYSTEM.

El gusano, modifica luego el registro de Windows, agregando los archivos EXPLORER32.VBS y EXPLORER.VBS a las siguientes entradas:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Esto hace que el virus se ejecute al reiniciarse Windows.

También modifica el archivo AUTOEXEC.BAT, de modo que cuando la computadora bootea, se busca en el disco duro antivirus como McAfee, Norton, y F-Secure, y los elimina del mismo.

Luego, muestra una ventana DOS con este texto:

SATANIK CHILD S A T A N I K C H I L D S A T A N I K = C H I L D 
A virus by Satanik Child has been detected! 

Windows is destroyed! (c)SC

Pero Windows no es destruido, y puede ser reiniciado sin problemas.

Luego, el virus busca el software para chats, mIRC, y si está instalado, infecta los archivos del mIRC, mirc.ini y script.ini. Con estos cambios, el gusano se enviará a otros usuarios cada vez que se conecte a los salones de chat.

Después de ello, el gusano se enviará a todos los contactos de la libreta de direcciones.

También busca en el disco duro, archivos con estas extensiones:

vbs
vbe
mp3
mp2
wav
txt
doc
log
bmp
gif
jpg
fla
js
html
swf
htm
wmf
png
avi
mid
zip
rar
pif
pdf

Creará entonces una copia de si mismo, y con el mismo nombre de los archivos encontrados, pero agregándole la extensión .VBS

Ejemplo: Si existe FIGURA.JPG se genera una copia del virus con el nombre FIGURA.JPG.VBS

También agrega una nueva asociación de archivos, a la extensión .DMK, asignándola a los archivos .VBS. De ese modo un archivo llamado EJEMPLO.DMK se ejecutará como si fuera EJEMPLO.VBS.

Creará una carpeta WINDOWS\SYSTEM\MSAPP, y una copia de si mismo con el nombre SATANIK.DMK. Esto último se repetirá en el raiz de cualquier disco duro del sistema.

Finalmente, modificará el registro para que cada vez que Windows se inicie, el navegador apunte a una determinada página Web en Internet. Luego de ello, el gusano reiniciará a Windows.

Para desactivar el Windows Scripting Host, vaya al Panel de Control (Mi PC, Panel de Control), Agregar o quitar programas, Instalación de Windows, Accesorios, pinche en Detalles, y desmarque "Windows Scripting Host". Reinicie su PC. Si usa Windows Me, utilice otras opciones, como el NOSCRIPT.EXE de Symantec.

Fuente: Aladdin Knowledge Systems

Vea también:
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS

23/ene/01 - VBS_Lovelettr.Bg. Variante del Loveletter
24/ene/01 - Html_Satanik.A. Versión HTML del Lovetter.BG
03/mar/01 - Html_Satanik.B. Sobrescribe muchos formatos conocidos

 

Copyright 1996-2001 Video Soft BBS