| |
VSantivirus No. 722 - Año 6 - Sábado 29 de junio de 2002
BAT/Way. Which pub in Singapore is the best in the world?
http://www.vsantivirus.com/way.htm
Nombre: BAT/Way
Tipo: Gusano de Internet (MS-DOS Batch)
Alias: VBS/Generic. VBS.China, VBS/China, VBS.China@MM,
I-worm.China
Fecha: 28/jun/02
Tamaño: 10,511 bytes
Fuente: Panda
Se trata de un gusano capaz de borrar archivos del sistema y de conocidos programas antivirus.
Posee un componente en VBS (Visual Basic Script) que le permite propagarse a través de Internet, enviándose a toda la libreta de direcciones del Outlook y también a través de los canales de IRC (Internet Relay Chat).
El gusano llega en un mensaje infectado, con las siguientes características:
Asunto: Which pub in Singapore is the best in the world?
Texto: Read me to find out!!!!
Datos adjuntos: reame.TXT.vbs
Note la doble extensión, y el error en el nombre (se supone debería ser
README).
Cuando el gusano se ejecuta (doble clic sobre el adjunto), en el raíz de
C, se crea la carpeta 'I_LOVE_CHINA_BLACK_AT_PACIFIC_PLAZA' y dentro se copia el archivo
CHINABOY.JPG.BAT.
Además, los siguientes archivos son creados:
C:\Windows\china_babes.bat
C:\Windows\china_boys.bat
C:\Windows\china_girls.bat
También crea estos archivos:
china.reg
Se crea en el directorio indicado por el comando PATH de Autoexec.bat. Contiene la modificación que el gusano realiza al registro. Luego sobrescribe todos los archivos con extensión REG en el mismo directorio. Los cambios que genera en el registro son los siguientes:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Chinablackblackblack = c:\windows\china_girls.bat
Esto hará que el gusano se ejecute en cada reinicio del sistema.
china_hunks.vbs
Se crea en el directorio indicado por el comando PATH de
Autoexec.bat. Este script ejecuta al propio gusano y luego sobrescribe todos los archivos
.VBS en el mismo directorio.
china_ladies.bat
Es una copia del propio gusano. También sobrescribe todos los archivos con extensión
.BAT en el actual directorio.
pif.pif
Este archivo es usado por el gusano cada vez que se abre una ventana MS-DOS. Sobrescribe además, todos los archivos con extensión
.PIF en el directorio actual.
vbs.lnk
Es un acceso directo al archivo del gusano. Sobrescribe todos los archivos
.LNK en el directorio actual.
El gusano también borra el contenido de WIN.INI y SYSTEM.INI en la carpeta
C:\Windows, además de los archivos que pertenecen a conocidos antivirus, dejándolos inoperables en la mayoría de los casos.
Para propagarse a través del IRC, debe estar presente el programa
mIRC, en cuyo caso se modifica el archivo SCRIPT.INI para incluir los comandos que permiten el envío del gusano a los usuarios conectados a los canales de chat visitados.
Al finalizar sus acciones, el gusano muestra una ventana de MS-DOS con el siguiente texto:
ChinaBlack rulez in Singapore!!!
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como
"send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la configuración de
"DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados por el virus
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Chinablackblackblack
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones
.VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Modificaciones:
01/jul/02 - Alias: VBS.China, VBS/China, VBS.China@MM,
I-worm.China
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
