VBS/Slip. ‘hola quieres ver todos los videos de slipknot’

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 716 - Año 6 - Domingo 23 de junio de 2002

VBS/Slip. ‘hola quieres ver todos los videos de slipknot’
http://www.vsantivirus.com/slip.htm

Nombre: VBS/Slip
Tipo: Gusano de Visual Basic Script
Alias: VBS.Slip@mm
Fecha: 12/jun/02
Tamaño: 7,546 bytes
Plataformas: Windows 9x, Me, NT, 2000 y XP

Este gusano escrito en Visual Basic Script (VBS), se envía en forma masiva a través del correo electrónico, a todos los contactos de la libreta de direcciones del Outlook.

Llega en un mensaje con las siguientes características:

Asunto: hola quieres ver todos los videos de slipknot

Texto:
con este programa vas a poder ver todo el video
slipknot y sus mejores videos

Datos adjuntos: [Diferentes nombres]

El nombre del adjunto siempre varía, por lo que no puede tomarse como referencia.

Si el usuario hace doble clic sobre ese archivo, ejecuta al gusano, el cuál intenta primero copiarse a si mismo a las siguientes ubicaciones con los siguientes nombres:

C:\Windows\Spit_It_Out.vbs
C:\Windows\Surfacing.vbs
C:\Windows\System\Left_Behind.exe
C:\Windows\System\My_Plague.exe
C:\Windows\System32\España.exe
C:\Windows\System32\Chile.exe
C:\Windows\Cursors\Mexico.exe
C:\Windows\System\Iowa.exe
C:\Windows\Command\Iowa.Mp3
C:\Windows\System\Avp.exe
C:\Windows\System\Norton.exe
C:\Windows\System\Mcafee.exe
C:\Windows\System\Regedit.exe
C:\Windows\System\Wininfo.vchm
C:\Windows\System32\Mirc.exe
C:\Windows\System32\IP.exe
C:\Winini.exe
C:\Windows\System32\Saliva.exe
C:\Windows\Sistem\Batusai.exe
C:\Windows\Sistem\Macarena.exe
C:\Windows\Sistem\XP.exe
C:\Windows\Sistem\Saliva.exe
C:\Windows\Sistem\Msn.exe
C:\Windows\Sistem\Server.exe
C:\Windows\Sistem\Latinmail.exe
C:\Windows\Sistem\PC.exe
C:\Windows\Sistem\Jefe.exe
C:\Windows\Sistem\Sos.exe
C:\Windows\Sistem\Labs.exe
C:\Windows\Sistem\PANDA.exe
C:\Windows\Sistem\XXX.exe
C:\Windows\Sistem\Nr.exe
C:\Windows\System\Panda_Antivirus.exe
C:\Windows\System\W32.exe
C:\Windows\System\Fama.exe
C:\Windows\System\Cd.exe
C:\Windows\System\Popup.exe
C:\Windows\System\Age.exe
C:\Windows\System\Superstar.exe
C:\Windows\System\Mov.exe
C:\Windows\System\Muxo.exe
C:\Windows\System\Mandarina.exe
C:\Windows\System\Red.exe
C:\Windows\System\Online.exe
C:\Windows\System\Jdbgmgr.exe
C:\Windows\System\Power.exe
C:\Windows\System\Error.exe
C:\Windows\System\621.exe
C:\Windows\System\611.exe
C:\Windows\System\Opensystem.exe
C:\Windows\System\Delete_System.exe
C:\Windows\System\Cold.exe
C:\Windows\System\Sound.exe
C:\Windows\System\Software.exe
C:\Windows\System\Shareware.exe
C:\Windows\System\Hadware.exe
C:\Windows\System\Hadcore.exe
C:\Windows\System\P.exe
C:\Windows\System\Tcp_Ip.exe
C:\Windows\System\Netstat.vbs
C:\Windows\System\Hi_Fi.exe
C:\Windows\System\Intel.exe
C:\Windows\System\Procesador.exe
C:\Windows\System\Chm.vchm
C:\Windows\System\Helps.vchm
C:\Windows\System\Mp3.exe
C:\Windows\System\Winamp.exe
C:\Windows\System\Real_Player.exe
C:\Windows\System\Real_World.exe
C:\Windows\System\Copy.exe
C:\Windows\System\Exe.exe
C:\Windows\System\Hkcu.exe
C:\Windows\System\Genius.exe
C:\Windows\System\Surf.exe
C:\Windows\System\Hoax.exe
C:\Windows\System\Mula.exe
C:\Windows\System\Wscript.exe
C:\Windows\System\Poderoso.exe
C:\Windows\System\Clima.exe
C:\Windows\System\Wordl.exe
C:\Windows\System\Latin_America.exe
C:\Windows\System\Latin.exe
C:\Windows\System\Vbs.exe
C:\Windows\System\Clock.exe
C:\Windows\System\Trv.exe
C:\Windows\System\Php.exe
C:\Windows\System\Copa.exe
C:\Windows\System\Ping_Pong.exe
C:\Windows\System\Animal.exe
C:\Windows\System\Golpear.exe
C:\Windows\System\Garantizar.exe
C:\Windows\System\Party_Hard.exe
C:\Windows\System\Plague.exe
C:\Windows\System\Space.exe
C:\Windows\System\Pregunta.exe
C:\Windows\System\Sucio.exe
C:\Windows\System\Publicitario.exe
C:\Windows\System\Sounds_Porns.exe
C:\Windows\System\Audio.exe
C:\Windows\System\Seguro.exe
C:\Windows\System\Firewall.exe
C:\Windows\System\Xlms.exe
C:\Windows\System\Atuendos.exe
C:\Windows\System\C.exe
C:\Windows\System\Jaja.exe
C:\Windows\System\Marea.exe
C:\Windows\System\Roja.exe
C:\Windows\System\Supr.exe
C:\Windows\System\Autowin.exe
C:\Windows\System\Maligno.exe
C:\Windows\System\Quake.exe
C:\Windows\System\Quake2.exe
C:\Windows\System\Quake3.exe
C:\Windows\System\Hexen.exe
C:\Windows\System\Starcraft.exe
C:\Windows\System\Expansion.exe
C:\Windows\System\Universo.exe
C:\Windows\System\Swa.exe
C:\Windows\System\Objeto.exe
C:\Windows\System\Nerfix.exe
C:\Windows\System\Xpload.exe
C:\Windows\System\Kuasanagui.exe
C:\Windows\System\Hoko.exe
C:\Windows\System\Neodrako.exe
C:\Windows\System\Hhh.exe
C:\Windows\System\Nemesixx.exe
C:\Windows\System\Venezuela_Demon.exe
C:\Windows\System\K.exe
C:\Windows\System\Bien.exe
C:\Windows\System\Agregar_Un_Contacto.exe
C:\Windows\System\Static_X.exe
C:\Windows\System\666.exe
C:\Windows\System\Slipknot.exe
C:\Windows\System\Desire.exe
C:\Windows\System\Words.exe
C:\Windows\System\Silence.exe
C:\Windows\System\7.exe
C:\Windows\System\Channel.exe
C:\Windows\System\I_Stand_Alone.exe
C:\Windows\System\Power_Point.exe
C:\Windows\System\Rock.exe
C:\Windows\System\52x.exe
C:\Windows\System\2x.exe
C:\Windows\System\Golpe_A_Golpe.exe
C:\Windows\System\Ley.exe
C:\Windows\System\Molotov.exe
C:\Windows\System\Golpe_A_Golpe.exe

Luego, intentará enviarse a si mismo con las características del mensaje ya vistas, y con nombres diferentes en sus adjuntos, a toda la libreta de direcciones del Outlook.

Después del envío, el gusano agrega la siguiente clave al registro:

HKEY_CURRENT_USER\Software
slip_sent yea

Esto es usado como marca para no volverse a enviar la próxima vez que un archivo infectado se ejecute.

Para eliminar manualmente este gusano, actualice y ejecute sus antivirus, y realice un escaneo de todos sus archivos. Borre los archivos infectados creados por el virus según la lista mostrada antes (tome especial atención en la ubicación de dichos archivos, ya que existen muchos ejecutables legítimos, con el mismo nombre, pero en ubicaciones diferentes que no se deben borrar). Borre también los mensajes con las características indicadas.

No modifique la entrada en el registro, ya que esta marca puede servirle de 'vacuna' para no ejecutar el envío de mensajes nuevamente, si volviera a contagiarse con este gusano.

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com