Asunto: Actualizacion de Windows urgente

Texto:
Actulizacion critica contra agujeros de seguridad este parche cerrara los puertos abiertos para que no entren hackers a su computadora.

Datos adjuntos: [Diferentes nombres]

Note las faltas ortográficas en el texto del mensaje, que siempre está en español.

El nombre del adjunto siempre varía, por lo que no puede tomarse como referencia.

Si el usuario hace doble clic sobre ese archivo, ejecuta al gusano, el cuál intentará enviarse a si mismo con las características del mensaje ya vistas, y con nombres diferentes en sus adjuntos, a toda la libreta de direcciones del Outlook.

Al mismo tiempo, abre 20,000 instancias del WordPAD de Windows. Aunque esto intenta enmascarar el envío de los mensajes, tal cantidad de tareas puede hacer caer la performance total del sistema, y hasta su colapso, de acuerdo a los recursos disponibles.

Después del envío, el gusano agrega la siguiente clave al registro:

HKEY_CURRENT_USER\Software
"system_windows" = "starup"

Esto es usado como marca para no volverse a enviar la próxima vez que un archivo infectado se ejecute.

Para eliminar manualmente este gusano, actualice y ejecute sus antivirus, y realice un escaneo de todos sus archivos. Borre los archivos infectados creados por el virus (tome especial atención en la ubicación de dichos archivos, ya que existen muchos ejecutables legítimos, que pueden tomar el mismo nombre, pero en ubicaciones diferentes que no se deben borrar). Borre también los mensajes con las características indicadas.

No modifique la entrada en el registro, ya que esta marca puede servirle de 'vacuna' para no ejecutar el envío de mensajes nuevamente, si volviera a contagiarse con este gusano.


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

VSantivirus No. 716 - 23/jun/02
VBS/Slip. ‘hola quieres ver todos los videos de slipknot’
http://www.vsantivirus.com/slip.htm

VSantivirus No. 724 - 1/jul/02
VBS/Slip.B. Asunto: Actualizacion critica de Anti-virus
http://www.vsantivirus.com/slip-b.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com