Virus: VBS/Anti700.A@mm. Simula ser la supuesta cura de un virus

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 404 - Año 5 - Jueves 16 de agosto de 2001

Nombre: VBS/Anti700.A@mm
Tipo: Gusano en Visual Basic Script
Fecha: 15/ago/01
Tamaño: 5,669 bytes

Este gusano, contiene un viejo virus de DOS llamado VCS.1077.A, el cuál fuera creado con la herramienta de construcción de virus VCS.

El código del gusano, está creado con la herramienta SSIWG.

El mensaje que envía el gusano (y con el cuál podemos infectarnos al recibirlo), posee estas características:

Asunto: WARNING!!! THIS IS URGENT PLEASE READ.
Texto:
Your system is in need to be cured from a DEADLY Virus that has been detected on your system.

Virus Name: W97.Hurricane.700
It has infected: Your .COM Files and your .EXE Files
Size: 1234
detectable: NO
disinfectable: YES

please read the .TXT file for further information on how to disinfect the Virus in your system!

WARNING!!!WARNING!!!WARNING!!!WARNING!!!WARNING!!!

signed,
Anti-Virus Company

P.S
for further onfo please contact me at anytime.
AV@hotmail.com

Archivo adjunto: AtiVirus700.txt.vbs

Cuando se ejecuta (note la doble extensión), el gusano se copia a la carpeta \System de Windows (por defecto C:\Windows\System):

C:\Windows\System\CUC0O0.VBS

También modifica la siguiente entrada del registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
CUC0O0 = C:\Windows\System\CUC0O0.VBS

Esto hará que el gusano se active cada vez que el sistema es reiniciado.

El gusano también copiará el virus de DOS contenido en su código, en un archivo como el siguiente:

C:\Windows\System\AntiVirus700.com

Luego, ejecuta dicho archivo (de unos 1077 bytes), el cuál procede a infectar archivos .COM., y luego, a enviarse en un mensaje similar al ya visto, a todos los contactos de la libreta de direcciones del Outlook

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Para quitar el gusano de un sistema infectado, proceda de este modo:

Primero, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
RunServices

3. Pinche sobre la carpeta "RunServices". En el panel de la derecha debería ver algo como:

"CUC0O0"

4. Pinche sobre el nombre "CUC0O0" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Fuente: Central Command
(c) Video Soft - http://www.videosoft.net.uy