|
VSantivirus No. 225 - Año 5 - Domingo 18 de febrero de 2001
Nombre: VBS.Vbswg.K
Tipo: Gusano de Visual Basic Script
Alias: VBS.Vbswg.gen, I-Worm.Lee.o, VBS/SST@MM
Tamaño: 7,396 bytes
Fecha: 16/feb/01
VBS.Vbswg.K es una nueva versión del virus VBS/SST-A, el identificado por la supuesta foto de la tenista
Anna Kournikova.
Este virus, conocido como "Nuevas Tarifas" (Neue
Tarife), es de origen alemán, y usa la misma construcción y técnicas de encriptación del
"Kournikova". Por estar en alemán, es posible no se propague tanto como el anterior. Sin embargo, es una muestra que este tipo de virus es muy probable surjan como hongos en las próximas semanas, más teniendo en cuenta que pueden crearse con la ayuda de una utilidad, y sin tener ningún conocimiento de programación (ver en este mismo boletín:
"Vbswg.gen. Generador de gusanos de Visual Basic
Scripts").
Esta variante se propaga usando el Microsoft Outlook, o los programas de chat como el mIRC o el Pirch, y utiliza como adjunto el archivo
"Neue Tarife.txt.vbs".
Este es el formato del mensaje:
Asunto: Neues von Ihrem Internetdienstleister - Robert
T.Online informiert
Texto:
Sehr geehrter Internetsurfer,
es hat sich einiges bei uns getan. Die Telekom kann auch Ihre Internetkosten reduzieren. Wir haben auch für Sie den richtigen Tarif... Damit auch Sie sich entscheiden können, haben wir eine Übersicht aller für Sie relevanter Termine an diese eMail gehängt.
Wir sind Sicher, auch Sie werden Ihren Wunschtarif finden.
Bei fragen stehen wir Ihnen natürlich jederzeit zur Verfügung...
Ihr T-Online Service Team
Archivo adjunto: NEUE TARIFE.TXT.VBS (7,396 bytes)
Cuando se ejecuta por primera vez (doble clic sobre el adjunto recibido), el gusano se copia a si mismo a la dirección
C:\WINDOWS FOLDER\NEUE TARIFE.TXT.VBS.
El gusano permanece activo en memoria, y si es borrado (por un antivirus por ejemplo), activa una rutina para volverse a copiar automáticamente. Esta rutina tiene un error, y lo único que hace es crear un archivo de cero bytes.
Para ejecutarse en cada inicio del sistema, el virus crea esta rama en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
T-Online wscript.exe = C:\WINDOWS\Neue Tarife.txt.vbs
Cuando este gusano se propaga usando el Outlook, lo hace a todos los contactos de su libreta de direcciones.
Luego de enviarse una vez, el virus cambia el registro de Windows para que no vuelva a ejecutarse la rutina de envío masivo de mensajes.
Para ello, crea las siguientes claves en el registro:
HKEY_CURRENT_USER\Software\Mailed = 1
(si se envío a través del Outlook).
HKEY_CURRENT_USER\Software\Mirqued = 1
(si se envío a través del Mirc).
HKEY_CURRENT_USER\Software\Pirched = 1
(si se envío a través del Pirch).
Cuando se propaga a través del mIRC (el gusano busca en todas las unidades disponibles, la presencia del mIRC o del Pirch para realizar los cambios necesarios), modifica el archivo
SCRIPT.INI, que es usado automáticamente por el programa, y se envía a otros usuarios de los canales de IRC.
Para propagarse usando el Pirch, el gusano modifica el archivo
EVENTS.INI, el cuál es usado en forma automática por el Pirch, enviándose también a otros usuarios en los canales de chat visitados.
Aunque se haya enviado vía e-mail, si en el sistema tenemos instalado uno de los clientes de chat (mIRC o Pirch), también se propagará por uno de ellos (o por los dos si ambos están presentes).
Para eliminarlo, ejecute primero un antivirus al día.
Luego borre los archivos identificados como infectados.
También quite la siguiente entrada en el registro (usando REGEDIT desde la línea de comandos, busque esta clave:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
T-Online wscript.exe
Borre la clave "T-Online wscript.exe".
Fuente: Symantec y Panda Antivirus
Ver también:
18/feb/01 - Vbswg.gen. Generador de gusanos de Visual Basic Scripts
15/feb/01 - AnnaKournikova: ¿fracaso de la comunidad antivirus?
13/feb/01 - VBS/SST-A
(Anna Kournikova). Nueva versión del LoveLetter
08/feb/01 - VBS.LoveLetter.CD (Cartolina). El ILOVEYOU ataca de nuevo
|
|