Para: [dirección obtenida de la libreta de direcciones]
Asunto: SunDance Update
Datos adjuntos: [variable].VBS
Texto: [vacío]

El archivo adjunto puede variar, y siempre es de extensión .VBS (no visible si se tiene la configuración clásica de Windows, ver "Mostrar las extensiones verdaderas de los archivos" al final de esta descripción).

Utiliza el WSCRIPT.EXE (componente del Windows Scripting Host) para ejecutar el script en Visual Basic, y correr sus rutinas de propagación, permaneciendo activo en memoria.

Primero, crea una copia de si mismo en la carpeta de Windows (C:\Windows por defecto), utilizando un nombre generado al azar por una rutina propia.

Luego, crea las siguientes entradas en el registro, con la intención de autoejecutarse en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentSunDanceion\Run
[nombre al azar] = C:\Windows\[nombre al azar].VBS

HKLM\SOFTWARE\Microsoft\Windows\CurrentSunDanceion\RunServices
[nombre al azar] = C:\Windows\[nombre al azar].VBS

En todos los casos, 'C:\Windows' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME y XP, y como 'C:\WinNT' en Windows NT/2000).

Esta variante, no logra ejecutarse en el reinicio de Windows (por errores al crear las claves anteriores en el registro), activándose solo al ser ejecutado por el usuario luego de recibir el mensaje.

Cuando ello sucede, el gusano permanece "dormido" en memoria unos minutos, antes de enviar copias de si mismo en mensajes como el descripto antes, a direcciones obtenidas de la libreta del Outlook y Outlook Express.

Al ejecutarse, muestra una ventana de diálogo con el siguiente texto:

You Updated my SunDance E-Mail Virus..
Thx: To all Members of Brigada Ocho.
(c) by Energy

El gusano también busca archivos .HTM y .HTML en todas las unidades de disco, y agrega en todas ellas su código en Visual Basic Script. Cuando cualquiera de esos archivos es visualizado en el Explorador, el código crea y ejecuta una copia del propio gusano.

El gusano también crea la siguiente entrada en el registro, como marca de infección:

HKLM\SOFTWARE\Microsoft\Windows
Worm=1

Reparación manual

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Worm

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentSunDanceion

5. Pinche en la carpeta "CurrentSunDanceion" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com