Asunto: Ist dein Provider zu teuer?

Texto:
Dann ist die mail richtig für dich!Habe dir die
tarife von t-online-plus mitgeschickt und überzeuge
dich selbst!lg ferdinand

Datos adjuntos: Tarife.vbs

Para que se active, el usuario debe ejecutar el adjunto con un doble clic, y entonces se copia a si mismo en el directorio System de Windows:

C:\Windows\System\Tarife.vbs

Luego modifica el registro para autoejecutarse en próximos reinicios del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Tarife" = "C:\Windows\System\tarife.VBS"

Si la computadora infectada está conectada a una red, entonces el gusano se copia también en todas las unidades de disco compartidas, como TARIFE.VBS.

Luego, se envía en un mensaje como el visto antes, a todas las direcciones de la libreta del Outlook de la víctima infectada.

Luego del primer envío masivo, activa un contador, y no vuelve a enviar mensajes infectados hasta que la computadora ha sido reiniciada 20 veces más (o lo que es lo mismo, hasta que se ha ejecutado 20 veces más el archivo TARIFE.VBS al iniciarse Windows).

Luego de esta cifra, la siguiente vez que Windows se inicia y se ejecuta TARIFE.VBS, vuelve a auto enviarse en las mismas condiciones anteriores.

• El troyano Small.J

Nombre: Troj/Small.J
Tipo: Caballo de Troya, dropper de VBS/Small.J
Alias: W32/Small.J, TROJ_SMALL.J, TrojanDropper.Win32.Small.J, VBS_SMALL.J
Fecha: 4/may/02
Tamaño: 548,645 bytes

Este troyano actúa como dropper del gusano VBS/Small.J, el cuál libera en la máquina infectada.

Cuando el troyano es ejecutado por el usuario (doble clic), se copian y ejecutan dos archivos en la carpeta de archivos temporales de Windows (C:\Windows\TEMP):

C:\Windows\TEMP\~temp1.vbs
C:\Windows\TEMP\~temp2.exe

El primero es el componente de envío masivo vía e-mail, detectado como VBS/Small.J, descripto al principio.

El segundo es un programa normal que el troyano ejecuta luego de activar al gusano, para esconder su actividad maliciosa, y no despertar sospechas.

Este programa muestra las imágenes de dos vacas y ejecuta un determinado sonido por cada una de las vacas.


Reparación manual

Para eliminar el gusano y el troyano de un sistema infectado, siga estos pasos:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

"Tarife"         "C:\Windows\System\Tarife.VBS"

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Cómo ver las extensiones de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

• En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
• En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
• En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.


Más información:

VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Glosario

DROPPER (cuentagotas) - Es un archivo que cuando se ejecuta "gotea" o libera un virus. Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".

Windows Scripting Host (WSH). Es un interprete de Java Script y de Visual Basic Script, que puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus en dichos lenguajes. Está instalado por defecto en Windows 98 y posteriores.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com