Virus: VBS/European.A. Crea la extensión .BLL para ejecutarse

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 403 - Año 5 - Miércoles 15 de agosto de 2001

Nombre: VBS/European.A
Tipo: Gusano de Visual Basic Script
Alias: VBS/European
Fechas: 14/ago/01

Este gusano en Visual Basic Script, se propaga a través del correo electrónico.

El gusano genera (si no existe) una carpeta llamada C:\startup, dentro de la cuál se copia con alguno de los siguientes nombres:

startup.bll
start.bll
winstart.bll
autoexec.bat.bll
win.ini.bll
config.bll
windoh.bll
fooled.bll
nothing.bll

También puede usar este nombre:

gotcha .fooled.bll

En este caso, entre "gotcha" y ".fooled.bll" existen 16 espacios vacíos.

Luego, el gusano agrega la siguiente clave al registro, para hacer que todos los archivos con la extensión .BLL se ejecuten como si fueran archivos .VBS (Scripts de Visual Basic).

HKEY_CLASSES_ROOT\.bll

También crea el siguiente archivo en la carpeta de Windows:

C:\Windows\URGENT.TXT .vbs

Entre "URGENT.TXT" y ".vbs", existen 17 espacios en blanco.

También modifica el registro para ejecutar este archivo en cada reinicio de Windows.

El gusano intenta agregarse al principio de cualquier archivo con las siguientes extensiones, que se encuentren en el directorio actual:

HTML
HTA
OCX
DLL
BAT
EXE
VBS
VBE

Para propagarse, utiliza el Outlook. Si este programa está instalado en la computadora infectada, el gusano se copia a si mismo con uno de los siguientes nombres, en la carpeta \Windows:

C:\Windows\Readme.TXT .vbs
C:\Windows\SECURE.JPG .vbs
C:\Windows\MyDildo.jpg .vbs

Entre las extensiones ".TXT" y ".VBS" existen dos espacios, y entre las extensiones ".JPG" y ".VBS", tres espacios.

Estos archivos, serán enviados como adjuntos a todas las direcciones de la libreta del Outlook.

El mensaje estará formado con estos criterios:

Asunto: (uno de los siguientes)

Something very special

I know you will like this

Yes, something I can share with you

Wait till you see this!

Check out this picture of me masturbating

Texto: (uno de los siguientes)

Hey you, take a look at the attached file. You won't believe your eyes when you open it!

Run this vulnerable script checker to see if your system is vulnerable to malicious scripts.

Did you see the pictures of me and my battery operated boyfriend?

My best friend,This is something you have to see! Till next
time

Is the Internet that safe? Check it out

Adjuntos: (uno de los siguientes):

Readme.TXT .vbs
SECURE.JPG .vbs
MyDildo.jpg .vbs

Finalmente, sin ninguna otra intención que hacer notar su presencia, el gusano abre 10 copias del bloc de notas (NOTEPAD.EXE)

Para quitar el virus de un sistema infectado, ejecute uno o más antivirus al día.

Luego, elimine las siguientes entradas del registro utilizando REGEDIT (Inicio, Ejecutar, teclee REGEDIT y Enter):

HKEY_CLASSES_ROOT\.bll

Pinche sobre la carpeta ".bll", y pulse la tecla DEL o SUPR para borrarla.

Busque la siguiente entrada en el registro:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run

Pinche sobre la carpeta "Run", y borre en la ventana de la derecha, cualquier entrada con la siguiente referencia (probablemente, la extensión .VBS, debido a los espacios que lo separan del nombre, no sea vista):

C:\Windows\URGENT.TXT .vbs

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Fuentes: Sophos, VirusAttack!
(c) Video Soft - http://www.videosoft.net.uy