C:\Win32 Strt.exe.vbs
C:\Windows\System\Bootloader.exe.vbs
D:\Recycled\DD0.vbs
E:\Recycled\DE0.vbs

Obviamente, las últimas dos si existen unidades de disco asignadas con esas letras, locales o de red.

También crea los siguientes archivos:

A pesar de su extensión es el script (Script.ini) para el mIRC, 607 bytes:

C:\Windows\Winupdate.exe

Archivos con el código vbs embebido, (12,037 bytes):

C:\Windows\Jokes.htm
C:\Windows\System\WinHelp32.exe

También sobrescribe los siguientes archivos:

C:\Windows\Readme.htm
C:\Windows\Htmlhelp.htm
\Mirc\script.ini

Para ejecutarse automáticamente cada vez que Windows se reinicia, el gusano modifica las siguientes entradas del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Win32 Strt.EXE = \Win32 Strt.exe.vbs 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BootLoader = C:\WINDOWS\SYSTEM\BootLoader.exe.vbs

El gusano posee la capacidad de sobrescribir todos los archivos con extensión .HTM y .HTML.

Si se ejecuta un 15 de octubre, el gusano muestra la siguiente ventana de mensajes:

my b-day
happy birthday left
[    OK    ]

Si la fecha es igual al 13 de noviembre, se muestra el siguiente mensaje:

11/23!
holy shit!
it's 11/23?
[    OK    ]

Si la fecha actual es igual al 25 de diciembre, el siguiente mensaje es mostrado:

kefi [rRIf]
Organized religion controls the world.
[    OK    ]

Los días mencionados, el gusano crea también hasta 16 archivos de texto de la carpeta de inicio, con el siguiente formato:

\Evion0.txt
\Evion1.txt
\Evion2.txt
[...]
\Evion15.txt

El contenido son frases sin sentido, armadas al azar con las siguientes tres líneas:

1. You've done and gotten your self infected with Vbs.Evion by kefi [rRlf]

2. [rRlf] ownz joo bitch

3. Catfish_VX are lamers. This virus was constructed for them to steal

Estos textos serán mostrados por medio del bloc de notas, automáticamente cada vez que se reinicia Windows o el sistema cambia de usuario:

Los demás días se crearán archivos de texto en el escritorio de Windows con el siguiente formato, "[Día] - [mes].vir.txt". Ejemplo:

C:\Windows\Desktop\5 - 2.vir.txt (5 de febrero)
C:\Windows\Desktop\24 - 10.vir.txt (24 de octubre)

Estos archivos contienen el siguiente texto:

"today you did not experiance the payload of Vbs.Evion sorry.."

kefi [rRlf]

Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

BootLoader

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

Win32 Strt.EXE

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com