Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Stages.A
 
Lunes 19 de junio de 2000

Nombre: VBS/Stages.A
Alias: Stages.A, VBS/ShellScrap, Scrap Files, I-Worm.Scrapworm, LIFE_STAGES.TXT.SHS, VBS_STAGES)
Tipo: Virus de VBS, IRC, gusano de e-mail

Se trata de otro gusano que se propaga a través de Internet, en forma muy similar al Melissa o al LoveLetter, pero que sin embargo no presenta tanto riesgo según los expertos. Aunque su manera de ocultarse puede ser un problema para un usuario sin experiencia.

El gusano, llamado "Scrap File" o "VBS/Stages" por Computer Associates (CA), utiliza la asociación .SHS. Los archivos .SHS (Microsoft Scrap Object file), son en definitiva ejecutables que pueden contener una gran variedad de objetos (objetos empaquetados). El mayor problema en este caso, es que al utilizarse el ya clásico truco de la doble extensión para ocultarse (Ej.:. ARCHIVO.TXT.SHS), aún con la opción "Ver todos los archivos" activa, la verdadera extensión .SHS permanece oculta. Sin embargo, con el botón derecho, propiedades, se visualiza su verdadero nombre. Otro detalle es que el icono por defecto no es el de los archivos que simula ser, sino el de los .SHS (una hoja cortada con líneas resaltadas en marcador amarillo). Sin embargo, luego de la primera ejecución del virus, esta característica es modificada.

Aún así, el virus no es tan peligroso como otros (además de propagarse vía Outlook o IRC, modifica solo el archivo REGEDIT.EXE). Y como el archivo empaquetado en este caso en formato .SHS es un ejecutable de Visual Basic Script (VBS), con tener deshabilitado el WSH (Windows Script Host), estaremos protegidos.

En forma similar al LoveLetter y otros, el virus afecta computadoras con Outlook como programa de correo. También es capaz de propagarse a través de los clientes de IRC mIRC y Pirch.

El VBS/Stages.A es el primer gusano conocido que utiliza un archivo .SHS para transferirse. Algunas partes de su código están encriptadas usando técnicas similares a otros virus como los de la familia VBS.Zulu.

El código del gusano está contenido en el archivo "LIFE_STAGES.TXT.SHS". Si este archivo no existe en la carpeta de inicio de Windows (C:\WINDOWS\Menú Inicio\Programas\Inicio), el virus crea el archivo "LIFE_STAGES.TXT" conteniendo el siguiente texto:

- The male stages of life:

Age. Seduction lines.
17 My parents are away for the weekend.
25 My girlfriend is away for the weekend.
35 My fiancee is away for the weekend.
48 My wife is away for the weekend.
66 My second wife is dead.

Age. Favorite sport.
17 Sex.
25 Sex.
35 Sex.
48 Sex.
66 Napping.

Age. Definiton of a successful date.
17 Tongue.
25 Breakfast.
35 She didn't set back my therapy.
48 I didn't have to meet her kids.
66 Got home alive.

- The female stages of life:

Age. Favourite fantasy.
17 Tall, dark and hansome.
25 Tall, dark and hansome with money.
35 Tall, dark and hansome with money and a brain.
48 A man with hair.
66 A man.

Age. Ideal date.
17 He offers to pay.
25 He pays.
35 He cooks breakfast next morning.
48 He cooks breakfast next morning for the kids.
66 He can chew his breakfast.

Si el archivo conteniendo el gusano no existe en la carpeta de Inicio, el virus intenta buscarlo en la unidad de disco local y lo copia en varios lugares.

El gusano también crea el archivo "scanreg.vbs", el cuál contiene el código que volverá a reactivar al virus. También modifica el registro para que dicho archivo sea ejecutado en cada reinicio de la computadora.

Luego, el worm intenta modificar algunos parámetros de los clientes de ICQ e IRC en la máquina infectada, y modifica el registro para confundir al usuario aún más, cuando este intente buscar archivos con extensión ".SHS" en su máquina. Cuando el virus se activa, entonces el icono por defecto de los archivos .SHS pasa a ser el de los archivos .TXT (la extensión .SHS jamás es visualizada como ya dijimos).

Para evitar toda acción de restauración del sistema, el worm modifica la utilidad "regedit.exe" (el editor del registro de Windows), el cuál es renombrado como "recycled.vxd" y movido a la carpeta que se corresponde con la papelera de reciclaje de la unidad (C:\RECYCLED).

El virus también intenta copiarse a si mismo a todas las unidades de disco mapeadas en una red, en las carpetas de inicio de Windows (\WINDOWS\Menú Inicio\Programas\Inicio). Esta acción solo ocurre cuando el archivo (como mencionamos anteriormente), no se encuentra en el archivo de inicio de la PC local.

Dependiendo del siguiente valor del registro:

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\OSName"

el gusano intentará utilizar el Outlook para enviarse a si mismo a todos los contactos de la libreta de direcciones.

El worm utiliza varios "Asuntos:" para hacer más difícil su detección. Algunos de estos pueden ser:

"Fw: Life Stages"
"Fw: Funny"
"Fw: Jokes"
"Fw: Life Stages text"
"Fw: Funny text"
"Fw: Jokes text"
"Life Stages"
"Funny"
"Jokes"
"Life Stages text"
"Funny text"
"Jokes text"

También el cuerpo del mensaje contiene elementos tomados al azar. Después que el mensaje es enviado el gusano se asegura de que este no aparezca en la carpeta de mensajes enviados. También modifica el registro para que el mismo no se vuelva a enviar.

 Acciones llevadas a cabo por el virus

Cuando el archivo "LIFE_STAGES.TXT.SHS" se ejecuta (cliqueando sobre el archivo adjunto infectado), ocurren las siguientes acciones en la PC infectada:

1 - Se borra el archivo REGEDIT.EXE

2 - Se crean estos archivos en la unidad local:

c:\Mis documentos\IMPORTANT.TXT.SHS
c:\RECYCLED\DBINDEX.VBS
c:\RECYCLED\MSRCYCLD.DAT
c:\RECYCLED\RCYCLDBN.DAT
c:\RECYCLED\RECYCLED.VXD (es el verdadero REGEDIT.EXE)
c:\report.txt.shs
c:\WINDOWS\LIFE_STAGES.TXT.SHS
c:\WINDOWS\[nombre del PC].acl
C:\WINDOWS\Menú Inicio\Programas\unknown_805.txt.shs
c:\WINDOWS\SYSTEM\MSINFO16.TLB
c:\WINDOWS\SYSTEM\SCANREG.VBS
c:\WINDOWS\SYSTEM\VBASET.OLB

3 - Se copia a si mismo a todas las unidades disponibles (incluidas en red), pudiéndose utilizar nombres al azar, tomados de las variables "IMPORTANT", "INFO", "REPORT", "SECRET" y "UNKNOWN", más las variables "-" y "_", más un número al azar entre 0 .. 999, por ejemplo:

"INFO-497.TXT.SHS"

4 - Modifica el registro para ejecutar SCANREG.VBS en el arranque de Windows.

5 - Modifica el registro para ejecutar DBINDEX.VBS cuando se carga el ICQ.

6 - Modifica el registro para ejecutar RECYCLED.VXD cuando se llama a los archivos asociados al REGEDIT.

7 - Modifica el archivo MIRC.INI para cargar un script auxiliar en las instalaciones del PIRCH o del mIRC.

8 - Crea el archivo SOUND32B.DLL cada vez que Windows se reinicia (si ya existe SCANREG.VBS en la carpeta de inicio de Windows). Este archivo en realidad no es un DLL, sino un archivo de texto que sirve como script auxiliar y que es llamado por el MIRC.INI modificado antes, y que contiene instrucciones para enviar el archivo LIFE_STAGES.TXT.SHS cada vez que la PC se conecta a un canal de IRC.

Este virus es reconocido por todas las actualizaciones de los antivirus cuyos links están disponibles en nuestro sitio.

 

Copyright 1996-2000 Video Soft BBS