|
VSantivirus No. 231 - Año 5 - Sábado 24 de febrero de 2001
Modificado 22 de abril de 2001
Algunas recomendaciones sobre los virus escritos en VBS
1 - Habilitar la opción para poder ver las extensiones verdaderas de los archivos.
Recordemos la forma en que por lo general este tipo de virus intenta ocultar su extensión. Los
.VBS son ejecutables de Visual Basic Script. Al ser su extensión
.TXT.VBS por ejemplo, la extensión .VBS quedará oculta por lo general, y por lo tanto aparentará ser un archivo de texto:
.TXT, haciéndonos pensar tal vez en su inocencia.
Para que ello no ocurra, recomendamos DESMARCAR dicha opción, a los efectos de no caer en estas trampas, y poder ver siempre la verdadera extensión de un archivo.
Para ello, proceda así:
- En Windows 95/98:
Seleccione Mi PC, Menú Ver, Opciones (u Opciones de carpetas).
- En Windows Me:
Seleccione Mi PC, Menú Herramientas, Opciones de carpetas.
Luego, en la lengüeta "Ver" de esa opción,
DESMARQUE la opción "Ocultar extensiones para los tipos de archivos
conocidos" o similar. También recomendamos que MARQUE la opción
"Mostrar todos los archivos y carpetas ocultos" o similar.
2 - Deshabilitar el Windows Scripting Host en nuestro PC.
Como hemos mencionado, este tipo de virus es incapaz de ejecutarse si deshabilitamos las opciones de Windows Scripting Host de nuestro PC.
El Windows Scripting Host (WSH), es un interprete de Java Script y de Visual Basic Script, y puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus del tipo VBS. Está instalado por defecto en Windows 98 y posteriores, no así en Windows 95, donde deberá ser instalado de querer usarse.
Probablemente un usuario común no requiera de estas tareas, ya que estas posibilidades suelen ser usadas solamente por usuarios avanzados o expertos.
WSH agrega funcionalidades similares a la ejecución por lotes del MS-DOS (.BAT), pero bajo el entorno Windows, bajo línea de comandos.
Windows Scripting Host habilita la ejecución de scripts (guiones o archivos del tipo de proceso por lotes), directamente desde el escritorio de Windows o desde la línea de comandos, sin la necesidad de incluir estos scripts en un documento HTML. Los scripts pueden ser ejecutados directamente desde el escritorio haciendo clic sobre un archivo, o por medio de una consola de comandos. Además, WSH provee un host con un consumo mínimo de memoria, ideal para procesos no interactivos, tales como control de acceso, control administrativo, y cualquier otra tarea que requiera una serie de comandos para ser ejecutado. Los conocedores del DOS, encontrarán bastantes similitudes a lo que se podía hacer con un .BAT.
Windows Scripting Host requiere un máquina ActiveX de scripts instalada, tal como la que provee el Internet Explorer.
Para desactivar el Windows Scripting Host de su escritorio, proceda de alguna de las siguientes maneras:
a. En Windows 95 y 98 (Manual)
Desde el Panel de Control (Mi PC, Panel de Control), Agregar o quitar programas, Instalación de Windows, Accesorios, pinche en Detalles, y desmarque
"Windows Scripting Host". Reinicie su PC.
b. En todas las versiones de Windows 95, 98, Me (Automático)
Con la excepción de algunas versiones de Windows 98, el Windows Scripting Host puede estar instalado en su computadora, pero no ser
mostrado en "Quitar o agregar programas" del panel de control, como vimos en el punto
(a).
Existe un programa de Symantec (Norton) que lo hace en forma automática, modificando el registro. Este programa no solo funciona en Windows Me, sino que también puede ser ejecutado en Windows 95/98/NT4 y 2000.
Su nombre es
NOSCRIPT.EXE (127 Kb) y puede bajarse de aquí (es gratuito).
Al ejecutarse NOSCRIPT, el mismo cambia las siguientes ramas del registro:
HKEY_CLASSES_ROOT\JSFile
HKEY_CLASSES_ROOT\VBSFile
HKEY_CLASSES_ROOT\WSHFile
HKEY_LOCAL_MACHINE\Software\CLASSES\VBSFile
HKEY_LOCAL_MACHINE\Software\CLASSES\WSHFile
HKEY_LOCAL_MACHINE\Software\CLASSES\JSFile
y las convierte en:
HKEY_CLASSES_ROOT\JSFile.SymantecDisabled
HKEY_CLASSES_ROOT\VBSFile.SymantecDisabled
HKEY_CLASSES_ROOT\WSHFile.SymantecDisabled
HKEY_LOCAL_MACHINE\Software\CLASSES\VBSFile.SymantecDisabled
HKEY_LOCAL_MACHINE\Software\CLASSES\WSHFile.SymantecDisabled
HKEY_LOCAL_MACHINE\Software\CLASSES\JSFile.SymantecDisabled
Esto impide que los archivos .JS, .VBS y .WSH se ejecuten al pinchar sobre ellos, o al ser llamados por otros
programas, o que se autoejecuten de estar en determinadas carpetas de inicio.
Si ejecutamos NOSCRIPT nuevamente, el registro volverá a quedar como estaba antes. Este programa funciona en todas las versiones con Windows Scripting Host instalado.
c. En todas las versiones de Windows 95, 98, Me (Manual)
En todas las versiones de Windows (95, 98 y Me), el WSH también puede ser quitado eliminando un archivo ejecutable (si no desea o no puede usar alguna de las formas anteriores).
Para ello, desde Inicio, Buscar, Archivos o carpetas, busque en la unidad C: (Buscar en: C:\ o Buscar en: Discos duros locales), el archivo
WSCRIPT.EXE.
Si lo encuentra, pulse sobre él con el botón derecho y seleccione "Cambiar nombre". Modifíquelo por ejemplo, como
WSCRIPT.BAK. Esto lo permitirá volver a recuperarlo fácilmente si lo desea (buscando WSCRIPT.BAK y renombrándolo como WSCRIPT.EXE).
Nota: En algunas versiones, este archivo puede aparecer en dos lugares diferentes, renombre los dos.
Tenga en cuenta que cuando requiera abrir un archivo .VBS (o .WSH, .JSE, .VBE, .WSF o .JS), Windows mostrará un mensaje de error, ignórelo.
Ver también:
12/feb/01 - San Valentín y los virus. Consejos para todo el año
18/dic/00 - El correo electrónico, el formato HTML, la música y los virus
17/dic/00 - Cinco dudas sobre el correo electrónico y los virus
02/dic/00 - ¿Extensiones de Archivo? ¿Y eso qué es?
26/nov/00 - Pautas generales para mantenerse alejado de los virus
10/nov/00 - La primera línea de defensa contra los virus: USTED
07/may/00 - Especial
sobre el LoveLetter
01/nov/99 - Cómo puedo protegerme de los virus de HTML
[ Más artículos
] [ Más hoaxes ]
|
|