Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: JS/Congrats.A@mm. Borra todos los JPG y roba el CuteFTP
 
VSantivirus No. 291 - Año 5 - Miércoles 25 de abril de 2001

Nombre: JS/Congrats.A@mm
Tipo: Gusano de JavaScript
Fecha: 19/abr/01

JS/Congrats.A@mm es un gusano de JavaScript, que se propaga vía e-mail. Llega en un mensaje con el archivo Original.jpg como adjunto. Cuando se ejecuta, el gusano se envía a si mismo a toda la libreta de direcciones de Microsoft Outlook.

También borra todos los archivos .JPG (imágenes) del disco C:, a excepción de alguno que existiera en el directorio raiz.

Para que este virus se ejecute, se requiere que quien lee el mensaje tenga su programa de correo con HTML habilitado, y con JavaScript activado por defecto.

El mensaje recibido (y el que el gusano envía luego), tiene estas características:

Asunto: congrats ...y

Texto:
I am not sorry, but you have been befooled. 
Some files in your system have been deleted.
Believe it or not.... you have infected your computer
(Se agrega luego texto adicional).

Archivo adjunto: Original.jpg

El texto del mensaje se importa de un archivo que es copiado por el virus en esta ubicación:

C:\Windows\Start Menu\Programs\StartUp\Original.txt

El adjunto, es importado desde este archivo, también creado por el gusano:

C:\Original.js

Finalmente, el gusano envía la confirmación de su ejecución a la dirección: rs_sandhu@123india.com.

Si existe el archivo "C:\CuteFTP\Smdata.dat" (corresponde al cliente de FTP, CuteFTP) el gusano adjunta este archivo (Smdata.dat) al mensaje de confirmación. Este archivo contiene los nombres de usuarios, contraseñas y listas de servidores, a los que el usuario infectado se conecta a través del CuteFTP. Quienes utilizan este programa para subir sus sitios a Internet por ejemplo, serían víctimas del robo de las contraseñas para ingresar y actualizar sus sitios, cosa que podría hacer ahora el atacante.

Para borrar el virus, ejecute primero dos o más antivirus al día en su sistema, y elimine los archivos detectados como JS/Congrats.A@mm.

Luego, busque y elimine los archivos "Original.txt" y "Original.js".

Se aconseja deshabilitar las características de Java Script de los mensajes de correo.

En el caso del Outlook, vaya a Herramientas, Opciones. Seleccione la lengüeta "Seguridad". Pinche en "Zonas de seguridad", y luego pinche en "Zonas de sitios restringidos (más segura)". Pinche en ACEPTAR y confirme los cambios.

Fuente: Symantec


Ver también:
 17/mar/01 - JS/Wiretap.demo. Explota la falla del correo "pinchado"

  

Copyright 1996-2001 Video Soft BBS