Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Vbswg.AF (Antrax). Simula ser la foto de un enfermo
 
VSantivirus No. 463 - Año 5 - Domingo 14 de octubre 2001

Nombre: VBS/VBSWG.AF (Antrax) (Intended)
Tipo: Gusano de Visual Basic Script
Alias: VBS/Antrax, VBS/VBSWG.L, VBS/VBSWG.based, I-Worm.Lee-based, VBS.Kalamar, VBS.Vbswg2.gen, VBS/VBSWG2.gen@MM
Fecha: 13/oct/2001

Aprovechándose de la actualidad que esta plaga está adquiriendo, y explotando el morbo de una supuesta imagen de un enfermo terminal, este virus, de propagarse (por ahora es solo un ejemplar de laboratorio), podría ser alimento fácil para los que abren cualquier adjunto recibido por correo, sin siquiera pensar en las consecuencias. De cualquier modo, debería ser reconocido por cualquier antivirus al día, al tratarse de un vulgar gusano creado con una conocida herramienta. Sin embargo, por lo menos dos importantes antivirus (Panda y Sophos), fallaron en identificarlo como tal, al menos antes de tener una actualización de su base de datos.

Actualización 16/oct/01
El virus posee un error en su código, que impide pueda ejecutarse correctamente.
Ver Virus Antrax no puede propagarse, pero cambia de nombre


Este es el examen detallado del virus realizado por VirusAttack! (http://www.virusattack.com.ar/), y publicado con su autorización.

Se trata de un nuevo gusano de Internet creado con la herramienta VBS Worm Generator, el cual aprovecha la importancia sobre el virus biológico "ántrax" para intentar incitar al usuario a abrir su archivo adjunto. Debido a un error en su código, no puede ejecutarse correctamente su rutina de propagación.

El gusano puede ser recibido en un mensaje como el siguiente:

Asunto: Informacion Sobre El Antrax

Cuerpo:
como ahorita esta de moda hablar sobre el antrax aqui 
les mando una foto de un enfermo terminal

Archivo adjunto: antrax.jpg.vbs

Con el truco de la doble extensión, el creador del virus busca engañar al usuario, haciéndole creer que se trata realmente de un archivo gráfico con extensión .jpg cuando en realidad es un archivo que contiene código VBScript.

Si se ejecuta el archivo adjunto, el gusano creará una copia de si mismo en el directorio Windows, con el nombre antrax.jpg.vbs. Luego crea la siguientes clave de registro para ejecutarse con cada inicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
antrax.dll wscript.exe c:\windows\antrax.jpg.vbs %

Tras esto, realiza un cálculo aleatorio, que en caso de cumplir con cierta condición, muestra el siguiente mensaje:

Antrax
El wAsEk Te Saluda

Después chequea por la existencia de las siguientes entradas en el registro, que utiliza para saber si ya intentó enviarse por correo electrónico o si ya modifico el mIRC para intentar propagarse via IRC:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Antrax
J6I34M30

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Antrax
NN488V72

Si el valor de estas claves es igual a uno, quiere decir que ya realizó dichas acciones. De lo contrario, comienza con ellas.

Primero intenta enviarse por correo electrónico a todos los contactos en la libreta de direcciones del sistema, un método muy utilizado por los gusanos creados por la herramienta VBSWG. Esta rutina falla por errores en su código. Si pudiera hacerlo, el mensaje enviado sería el mismo siempre, y el nombre del archivo adjunto también, siendo exactamente igual al detallado más arriba. Una vez enviado el mensaje, el gusano lo elimina de la carpeta de Elementos Enviados del Outlook. Si esta aplicación no se encuentra instalada y configurada en el sistema, el virus no podrá reenviare por correo.

A continuación, busca por la existencia de la aplicación mIRC en el sistema, y si la encuentra, crea un archivo script.ini para intentar propagarse a través del IRC, utilizando esta herramienta de chat. De esta manera, cuando un usuario infectado por este virus se encuentre chateando en algún salón de chat, utilizando el mIRC o alguno de sus derivados, cada vez que una persona ingrese en dicho salón, el usuario infectado le enviará una copia del virus sin saberlo.

Luego genera un archivo antrax.exe en el directorio Windows que al parecer se trata de un Mail Bomber, el cual es ejecutado tras su creación. Este archivo aún se encuentra siendo analizado por nuestro laboratorio.

El gusano contiene rutinas para sobrescribir todos los archivos con extensión .vbs y .vbe del sistema que nunca son ejecutadas. También contiene el siguiente comentario al comienzo de su código:

Vbs.Vbswg.Antrax Created By wAsEk. 10/13/2001

Para eliminar el virus.

Ejecute un antivirus actualizado.

Al 13/oct/01, el virus es detectado como:

VBS.Kalamar (Dr. Web)
VBS.Vbswg2.gen (Norton)
VBS/VBSWG2.gen@MM (VirusScan)
I-Worm.Lee-based (KAV (AVP))
Genérico (F-Prot)

Actualmente todos los antivirus lo reconocen.


Para eliminarlo manualmente:

1. Utilizando el programa REGEDIT.EXE acceder a la clave y eliminarla

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
antrax.dll

2. Eliminar luego el archivo c:\windows\antrax.jpg.vbs

3. Reiniciar el sistema y chequearlo con un antivirus actualizado

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Ver también:

17/oct/01 - Virus Antrax no puede propagarse, pero cambia de nombre


Fuente: VirusAttack!

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS