|
VSantivirus No. 349 - Año 5 - Viernes 22 de junio de 2001
Nombre: VBS/Chism.A@mm
Alias: VBS/Copy@mm
Tipo: Gusano de Visual Basic Script
Fecha: 18/jun/01
Tamaño: 3626 Bytes
Se trata de un gusano en Visual Basic Script, capaz de enviarse masivamente vía e-mail, a todos los contactos de la libreta de direcciones del Outlook. Además, y de acuerdo a la fecha del mes, ejecutará algunas rutinas maliciosas.
Llega a nuestra computadora, en un mensaje con las siguientes características:
Asunto: What is the seven sins??
Texto: Look at this file and learn them
Archivo adjunto: Seven.vbs
Si el usuario abre el adjunto (la extensión .VBS no será visible si se tiene la configuración por defecto de Windows, para más datos vea
"Información complementaria" al final de esta descripción), entonces se activa el virus, copiándose en las siguientes ubicaciones:
C:\Windows\Seven.vbs
C:\Windows\System\Envy.vbs
C:\Windows\Temp\Lust.vbs
Luego, modifica el registro de Windows, agregando la siguiente entrada:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Envy = C:\Windows\Seven.vbs
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Lust = C:\Windows\Seven.vbs
Esto hará que el gusano se ejecute en el próximo reinicio de Windows.
Una vez activo, y de acuerdo a la fecha del mes en que se ejecute, el virus realizará las siguientes acciones:
Si el día es 1, 15 o 30 de cualquier mes, agregará la siguiente entrada al registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Anger = C:\Windows\System\Envy.vbs
Esto hará que el ratón sea deshabilitado en el próximo reinicio de Windows.
Si la fecha es 12 o 28 de cualquier mes, el gusano mostrará un mensaje, e intentará reiniciar Windows.
El día 14 de cualquier mes, el gusano intentará deshabilitar el teclado, mostrando antes un mensaje.
Los días 5 y 17 de cualquier mes, el gusano creará un nuevo archivo
.VBS, el cuál a su vez, mostrará un mensaje la próxima vez que Windows se reinicie.
Después que cualquiera de estas rutinas se ejecuta, el virus busca en todas las unidades de disco los archivos con extensión
.VBS, y los modifica, agregándoles al comienzo tres líneas de código, lo que causará que cada vez que un
.VBS infectado sea ejecutado, también lo haga el archivo del gusano,
C:\Windows\Seven.vbs.
Finalmente, el gusano se envía a través de un mensaje, similar al descripto antes, a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.
Información complementaria
Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:
- En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
- En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
- En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.
Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
Como sacar el virus de un sistema infectado
Para eliminar el virus manualmente, siga estos pasos:
1. Primero ejecute un antivirus al día.
2. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.
3. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run
4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:
Envy
Anger
5. En el panel izquierdo pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
6. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:
Lust
7. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios, y reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy
|
|