| |
VSantivirus No. 425 - Año 5 - Jueves 6 de setiembre de 2001
Nombre: VBS/Emin.A@mm
Tipo: Gusano de Visual Basic Script
Fecha: 27/ago/01
Tamaño: 2,437 Bytes - 2,386 Bytes
Este gusano, genera un archivo script (.JS) con nombre al azar, en una carpeta seleccionada
también al azar.
Luego, se envía a si mismo a todo los contactos de la libreta de direcciones del Outlook, junto a un archivo
.DOC (un documento de Word) de la computadora
infectada, seleccionado aleatoriamente.
Luego del envío, el gusano procede a resetear la computadora. El script creado, tiene instrucciones para borrar todos los archivos de la unidad
C en el inicio de Windows.
Cuando se activa, primero busca una carpeta al azar en la unidad
C.
Luego crea el Archivo script (JavaScript), usando como nombre el nombre de la carpeta actual,
más la fecha y hora actual, y como extensión
.JS
Este script es agregado al registro en la siguiente clave:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
De este modo, el gusano se activará en el próximo reinicio de Windows.
También busca todos los archivos .DOC de la unidad
C.
El gusano examina la presencia del Microsoft Outlook, y si existe información personal en su configuración.
Si existe esta información, entonces usará la libreta de direcciones para tomar de allí todos sus destinatarios.
Si en cambio no existe esa información, entonces el gusano intentará usar las direcciones de la carpeta de contactos.
Por cada dirección encontrada, el gusano envía un mensaje con el siguiente formato (y dos archivos adjuntos):
Asunto: <no subject>
Texto: Some body
Archivos adjuntos:
Some very cool thing I made.js
This 1 is very cool too.doc
El primero es el propio virus, y el segundo un documento
.DOC cualquiera, seleccionado al azar.
(Nota: Literalmente el asunto y texto son los siguientes: "<no
subject>" y "Some body").
Cuando la computadora se reinicia, el archivo *.JS se ejecutará, intentando borrar todo los archivos de la unidad
C.:
Para quitar a mano el gusano de un sistema infectado, primero ejecute un antivirus actualizado.
Luego, desde Inicio, Ejecutar, teclee REGEDIT + Enter,
y luego busque y seleccione esta clave:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
Pinche en la carpeta Run, busque en la ventana de la derecha, un valor con el siguiente formato:
Mismo nombre de una carpeta + número +
.JS
Luego de ello, salga de REGEDIT.
En el caso de haberse activado la rutina de borrado de archivos, deberá proceder casi seguramente a reinstalar Windows para solucionarlo.
Note además, el riesgo del envío de documentación privada de las computadoras infectadas a otros usuarios.
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
Glosario:
Windows Scripting Host (WSH). Es un interprete de Java Script y de Visual Basic Script, que puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus en dichos lenguajes. Está instalado por defecto en Windows 98 y posteriores.
Fuente: Symantec
(c) Video Soft - http://www.videosoft.net.uy
|
|
