|
VSantivirus No. 644 - Año 6 - Viernes 12 de abril de 2002
VBS/VCard.A. Una tarjeta virtual de salutación infectada
http://www.vsantivirus.com/vcard-a.htm
Nombre: VBS/VCard.A
Tipo: Gusano de Visual Basic Script
Alias: VBS_VCARD.A, VCARD.A, VBS.DracV.A, VBS.Dracv, VBS_YURIS.A, VBS/Yuris.A.Worm
Tamaño: 14,967 bytes
Fuente: Trend
Este script de Visual Basic aparece como una tarjeta electrónica de salutación. Cuando se ejecuta, se muestra un mensaje preguntando al usuario para enviarla. Si el usuario acepta, pulsando en el botón [Yes], se presentan varias preguntas, las que serán usadas en el cuerpo del mensaje que será enviado con la tarjeta electrónica a toda la libreta (no se le aclara esto al usuario).
El mensaje es re enviado a toda la libreta de direcciones, adjuntándose también tres archivos JPG que son tomados del sistema al azar.
El gusano crea también una entrada en el registro:
HKEY_CURRENT_USER\Software\vcards
Crea también una carpeta C:\vcache, donde se copia a si mismo como
VCARDS.VBS. El gusano despliega una serie de ventanas de mensajes conteniendo la siguiente cadena de texto:
Message to your peeps
Enter a message for people getting your card?
Cuando el usuario infectado pulsa Enter o pincha en [ OK ], el virus construye un mensaje con formato HTML, usado como cuerpo de los mensajes que luego reenviará.
También realiza una búsqueda en todas las unidades de disco locales, de tres archivos JPG que tengan un tamaño entre 40 Kb y 120 Kb, los que adjunta a los mensajes, previo a copiarlos como tres archivos VCRD (archivos del tipo tarjetas electrónicas) en la carpeta
C:\Vcache:
vcrd01.jpg
vcrd02.jpg
vcrd03.jpg
El gusano crea también en esa carpeta un archivo HTML (detectado como virus), que puede ser abierto por el Explorer.
Los mensajes enviados por el gusano, tienen estas características:
Asunto: You have a special VCard!
Texto del mensaje:
Hi!Click the "vcards.vbs" to view your card!
One of your friends is giving you a voyeuristic
glimpse of their personal images.
The images were randomly chosen and are totally
uncensored!
There is no telling what you will see!
Click the "vcards.vbs" file that is attached to
this email to see the uncensored images, and send
your own images out to the people in your address
book!
+ + + + + + + + + + + + + + + + + + + + + + + +
Message from your friend:
[Mensaje ingresado por el usuario antes]
+ + + + + + + + + + + + + + + + + + + + + + + +
If you are not interested? Just delete this email.
VCards "Lets get with hot communications"
Datos adjuntos: vcrd01.vcrd, vcrd02.vcrd, vcrd03.vcrd y vcards.vbs
Utiliza el Outlook para enviar su mensaje infectado a todos los usuarios de la libreta de direcciones. Si esto se cumple satisfactoriamente, el gusano crea la siguiente entrada en el registro, que luego consultará para no enviarse nuevamente desde el mismo usuario.
HKEY_CURRENT_USER\Software\vcards\
mailed = 1
Para limpiar un sistema infectado, ejecute un antivirus actualizado a la brevedad posible, y borre la carpeta
C:\VCache con todo su contenido (use el Explorador de Windows para ello).
No cambie la entrada del registro, ya que impedirá que el gusano se vuelva a ejecutar.
Nota: existe un conocido HOAX que hace referencia a una tarjeta virtual, pero no olvide que en este caso, si se trata de un virus:
VSantivirus No. 129 - 14/nov/00
Hoax: Una tarjeta virtual para Usted
http://www.vsantivirus.com/tarjeta.htm
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|