Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans

Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

VBS/Cian.C. Se propaga por casi todos los medios
 
VSantivirus No. 945 - Año 7 - Viernes 7 de febrero de 2003

VBS/Cian.C. Se propaga por casi todos los medios
http://www.vsantivirus.com/cian-c.htm

Nombre: VBS/Cian.C
Tipo: Virus de Visual Basic y de Macro (Word y Excel)
Alias: Cian.C, VBS.Cian.C, Word97Macro.Cian.C, Excel97Macro/Cian.C, W97M/Smvc.B
Fecha: 6 de febrero de 2003
Plataforma: Windows 32-bits
Fuente: Computer Associates

Este virus es capaz de infectar archivos de Visual Basic Script, documentos de Word y hojas de cálculo de Excel.

Además, puede propagarse a través del correo electrónico usando el Microsoft Outlook y Outlook Express.

También utiliza las redes de intercambio de archivos Peer-To-Peer como KaZaa.

El componente virus de macro de Word, es capaz de infectar directamente otros documentos Word, así como el virus de macro de Excel puede infectar otros libros de trabajo.

Sin embargo, para infectar de un formato al otro, crea el siguiente componente en Visual Basic Script:

C:\Windows\System\Winstart.vbs

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

El virus también crea la siguiente entrada en el registro, para asegurarse su autoejecución en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winstart = Wscript.exe C:\Windows\System\Winstart.vbs %1

Cuando se ejecuta este componente, el virus se copia a si mismo en las siguientes ubicaciones:

C:\Windows\Netlnk32.vbs
C:\Windows\Conversation.vbe
C:\Windows\Winstart.vbs
C:\Windows\Wininst32.vbs
C:\Windows\Winnt32.vbs
C:\Windows\Winnet32.vbs

La misma entrada "Winstart" es seteada para el componente virus macro.

El virus infecta todos los archivos con extensión .VBS y .VBE en todas las unidades de disco físicas y mapeadas de redes.

También se copia a si mismo en el directorio raíz de todas las unidades encontradas. Ejemplo:

C:\Passwords.vbs
D:\Passwords.vbs
E:\Passwords.vbs
[etc..]

El virus intenta propagarse copiándose en las carpetas asociadas con algunas de las aplicaciones de intercambio de archivos entre usuarios, como Kazaa, KaZaA Lite, Bearshare, Edonkey2000, Morpheus, Grokster e ICQ.

Para ello busca las siguientes carpetas:

C:\Kazaa\My Shared Folder
C:\My Downloads
C:\Archivos de programa\Kazaa\My Shared Folder
C:\Archivos de programa\KaZaA Lite\My Shared Folder
C:\Archivos de programa\Bearshare\Shared
C:\Archivos de programa\Edonkey2000
C:\Archivos de programa\Morpheus\My Shared Folder
C:\Archivos de programa\Grokster\My Grokster
C:\Archivos de programa\ICQ\Shared Files

En cada uno de esos directorios, busca archivos con las siguientes extensiones:

.mp3
.mp2
.avi
.mpg
.mpeg
.mpe
.mov
.pdf
.doc
.xls
.mdb
.ppt
.pps

El virus reemplaza por su propio código cada archivo encontrado, agregándole además la extensión .VBS.

Por ejemplo un archivo llamado:

C:\Kazaa\My Shared Folder\Video.mpg

es reemplazado por el código del virus (el contenido anterior se pierde y es irrecuperable), agregándose además la extensión .VBS:

C:\Kazaa\My Shared Folder\Video.mpg.vbs

El virus también intenta propagarse a través de los canales de chat, utilizando el mIRC, pero falla debido a un error de su código.

El componente .VBS comienza la infección de libros de trabajo de Excel creando un archivo llamado "personal.xls" en la carpeta de inicio de Excel.

La infección de los documentos de Word la inicia infectando la plantilla de inicio estándar, "normal.dot".

Primero, el virus cambia el nivel de seguridad en el registro para archivos de Word y Excel, permitiendo la ejecución de macros que se ejecutan sin hacer preguntas.

C:\Windows\System\Evade.gif
C:\Windows\System\Evade.jpg

Estos archivos contienen en realidad, el código fuente para Excel y Word respectivamente. El virus usa esto para crear los archivos "personal.xls" y "normal.dot" infectados.

Además de infectar otros documentos o libros de trabajo, el macro es capaz de propagarse a si mismo a través del correo electrónico utilizando el Outlook u Outlook Express.

Al abrir o cerrar cada documento, el intenta deshabilitar la configuración de seguridad para Word y Excel, cambiando el registro.

También deshabilita la barra de comandos. Para propagarse puede exportar el código del virus de los archivos "Evade.gif" (Excel) y "Evade.jpg" (Word) en el directorio C:\Windows\System\

Ambos envían correo electrónico y otros adjuntos.

El asunto de los mensajes que envía puede ser uno de los siguientes:

Here is that file
Important file
The file
Word file
[nombre de un documento]
The file you wanted
Here is the file

El asunto usado al enviarse a través del Excel, es seleccionado de esta lista:

Here is that file
Important file
The file
Excel file
[nombre de un documento]
The file you wanted
Here is the file

En todos los casos el mensaje de la entrada contiene este texto:

The file I am sending you is confidential as well
as important; so don't let anyone else have a copy.

El nombre del adjunto es el del documento u hoja de cálculo infectados.

Por cada dirección a la que se envía, el virus crea un valor en la rama "RecordContacts" del registro:

HKEY_CURRENT_USER\Software\Zed/[rRlf]\VBS/Evade
RecordContacts

Utiliza estos valores para no repetir el envío de mensajes infectados a la misma dirección.

También agrega el siguiente valor al registro:

HKEY_CURRENT_USER\Software\Zed/[rRlf]\VBS/Evade
(Predeterminado) = VBS/Evade.A by Zed/[rRlf]


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecútelos en modo escaneo, revisando todos sus discos

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

\Passwords.vbs
C:\My Downloads
C:\Windows\Conversation.vbe
C:\Windows\Netlnk32.vbs
C:\Windows\System\Evade.gif
C:\Windows\System\Evade.jpg
C:\Windows\System\Winstart.vbs
C:\Windows\Wininst32.vbs
C:\Windows\Winnet32.vbs
C:\Windows\Winnt32.vbs
C:\Windows\Winstart.vbs

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Como limpiar documentos de Word infectados

Ejecute uno o más antivirus actualizados. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm


Medidas complementarias con los macros

Restablezca las configuraciones contra virus de macros. En Office 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Office 2000 y XP, vaya a Herramientas, Seguridad, y cambie el nivel a Alto.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Winstart

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Zed/[rRlf]

5. Pinche en la carpeta "Zed/[rRlf]" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS