Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Thalia (Talorm). Engaña con supuestas fotos de Thalía
 
VSantivirus No. 863 - Año 7 - Domingo 17 de noviembre de 2002

VBS/Thalia (Talorm). Engaña con supuestas fotos de Thalía
http://www.vsantivirus.com/thalia.htm

Nombre: VBS/Thalia (Talorm)
Tipo: Gusano de Visual Basic Script
Alias: Thalia, I-Worm.Talorm, W32/Thalia@MM, W32/Thalorm@mm, VBS/Chick.I, CHM_TALORM.A
Fecha: 16/nov/02
Plataforma: Windows 32-bits
Tamaño: 17 Kb aprox.

Este gusano se propaga a través del correo electrónico y de los canales de chat (IRC). Utiliza como "gancho" supuestas fotos que dicen mostrar incluso desnuda a la popular cantante mexicana Thalia.

Escrito en Visual Basic Script, aparece como un archivo CHM, un formato compilado de archivos HELP, que contiene el script (VBS) con las instrucciones para propagarse, utilizando las funciones MAPI. El cuerpo del gusano posee un tamaño de 17 Kb.

El gusano se envía a través del correo electrónico, seleccionando como destinatarios todos los contactos de la libreta de direcciones.

El mensaje enviado (igual al recibido) posee las siguientes características (faltas de ortografía incluidas):

En "Asunto:" uno de los siguientes seleccionado al azar:
  • Fotos de Thalia
  • Fotos Exitantes de Thalia
  • Fotos XXX de Thalia
  • Free Pics

Como texto en el cuerpo del mensaje, uno de los siguientes seleccionados al azar:

  • Apuesto a que no has visto desnuda a Thalia
  • Checa estas fotos de Thalia
  • Como tas! aqui te mando unas fotos de Thalia
  • Fotos Exitantes de la cantante Thalia
  • Fotos XXX de Thalia
  • Hola que tal? ya viste las super fotos exitantes de Thalia
  • HOLA! TE RETO A CHECAR ESTAS FOTOS BIEN CHIDAS DE Thalia
  • Imagenes insolitas de Thalia
  • Para mis mejores Amigos fotos de Thalia
  • unas fotos bien padres de Thalia

Como datos adjuntos, en todos los casos:

  • Thalia.chm

Un ejemplo:

Asunto: Fotos XXX de Thalia
Datos adjuntos: Thalia.chm (17 Kb)
Texto: Apuesto a que no has visto desnuda a Thalia

El gusano solo se activa cuando el usuario ejecuta el adjunto (doble clic). Entonces se crean uno o dos archivos en la máquina afectada (depende exista el cliente mIRC en la máquina atacada o no).

En todos los casos se crea un archivo llamado "Thalia.chm", y si hay cliente de IRC, también se crea el archivo "Script.ini".

Para averiguar si el mIRC está instalado en esa computadora, el gusano busca la presencia del archivo "Mirc.ini", usado para la configuración del mismo. Si existe, el gusano crea el archivo "Script.ini", donde coloca los comandos para enviarse a otros usuarios conectados al mismo canal donde se conecte la víctima, propagándose de ese modo a través del IRC (Internet Relay Chat).

Los siguientes cambios son hechos en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion
RegisteredOwner = Thalia

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Thalia = C:\Windows\Thalia.CHM

El segundo, permite la ejecución del gusano cada vez que se reinicia la computadora. 'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).

Cuando el usuario ejecuta el archivo .CHM por primera vez, un mensaje es mostrado en el visor de archivos de ayuda HTML, instalado en todas las versiones actuales de Windows con Internet Explorer:

           Acepta el ActiveX
    para poder Ver las Fotos de    
                  ThalHa!!!!
 
 
 

Al mismo tiempo, una advertencia de Windows es desplegada:

Internet Explorer

Un control ActiveX de esta página podría no ser seguro
al interactuar con otras partes de la página. ¿Desea
permitir esta interacción?

[    Si    ] [    No    ]

Seleccionando [ No ], el gusano no se ejecutará, ni afectará ningún archivo de la computadora infectada.

Si la respuesta fue [ Si ], procede a enviarse por correo electrónico en mensajes como el descripto antes.

También intenta entonces enviarse a otros usuarios conectados al mismo canal de IRC donde se conecte la víctima.


El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrar los archivos creados por el gusano.

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en 'Buscar en:' la unidad 'C:', y de tener seleccionada la opción 'Incluir subcarpetas'

3. En 'Nombre' ingrese (o corte y pegue), lo siguiente:

Thalia.CHM; SCRIPT.INI

4. Haga clic en 'Buscar ahora' y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione Todos los archivos y carpetas

3. En 'Todo o parte del nombre' ingrese (o corte y pegue), lo siguiente:

Thalia.CHM; SCRIPT.INI

4. Verifique que en 'Buscar en:' esté seleccionado 'C:'

5. Pinche en 'Opciones avanzadas'

6. Seleccione 'Buscar en carpetas del sistema'

7. Seleccione 'Buscar en subcarpetas'

8. Haga clic en 'Buscar ahora' y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Thalia

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion

5. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha busque la siguiente entrada:

RegisteredOwner

6. Pinche en el nombre "RegisteredOwner" y en "Información del valor" cambie el valor "Thalia" por el nombre del usuario registrado de Windows en esa computadora.

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
26/nov/02 - Alias: CHM_TALORM.A




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS