Asunto: Shakira's Pictures

Texto:
Hi : 
i have sent the photos via attachment 
have funn... 

Datos adjuntos: ShakiraPics.jpg.vbs

El nombre del adjunto utiliza el ya clásico truco de la doble extensión para intentar simular se trata de una inocente imagen (.JPG). Normalmente, Windows oculta la verdadera extensión (.VBS) ya que corresponde a la de ejecutables conocidos (Ocultar extensiones para los tipos de archivos conocidos, ver Referencias). Por otra parte, el icono no corresponde al de archivos JPG.

Cuando el adjunto es abierto con un doble clic, se ejecuta el script, el cuál contiene la rutina para autoenviarse a si mismo a todos los contactos de la libreta de direcciones del Outlook. También es sobrescrito el archivo C:\MIRC\SCRIPT.INI si existe, con las instrucciones necesarias para autoenviarse a través de los canales de IRC usando el programa mIRC (si éste está instalado en la computadora infectada).

Luego se muestra una ventana con el siguiente mensaje:

VBScript
You have been infected by the ShakiraPics Worm
[    Aceptar    ]

También se copia a si mismo en el directorio WINDOWS, y luego intentará borrar todos los archivos .VBS y .VBE.

Genera además, la siguiente entrada en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Registry = "wscript.exe C:\WINDOWS\ShakiraPics.jpg.vbs %"

Esto hace que el gusano se ejecute mediante el WSH (Windows Scripting Host) en cada reinicio de Windows.

También crea estas entradas:

HKEY_CURRENT_USER\Software\ShakiraPics
mailed = 1
Mirqued = 1

Las mismas son puestas a "1" cuando se ha enviado el gusano vía e-mail (mailed), y cuando se ha hecho vía mIRC (mirqued).


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por el virus

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Registry

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\ShakiraPics

8. Pinche en la carpeta "ShakiraPics" y pulse en la tecla SUPR o DEL para borrarla.

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Modificaciones:
6/jun/02 - Alias VBS/VBSWG.AQ



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com