Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Forgotten.A@mm. Infección con solo leer el mensaje
 
VSantivirus No. 159 - Año 4 - Jueves 14 de diciembre de 2000

Nombre: VBS/Forgotten.A@mm
Tipo: Gusano de Visual Basic Script
Alias: VBS_Forgotten.A, Forgotten.A, VBS/Pica.worm.gen, Forgotten
Fecha: 12/12/00
Destructivo: Si
Tamaño: 9,025 bytes

Este virus es capaz de propagarse a través del programa de correo Microsoft Outlook, y los clientes de chat mIRC y Pirch.

También es identificado como "VBS/Pica.worm.gen", ya que ha sido construido con la herramienta "VBScript Creation Kit", disponible en Internet.

Para funcionar, el virus requiere ActiveX habilitado al abrirse el mensaje recibido. Por ello es poco probable se propague demasiado, ya que las opciones por defecto del nivel de seguridad del Outlook obligan a confirmar esta opción cada vez que se abre el mensaje.

En caso de permitir esta opción, VBS/Forgotten.A@mm puede activarse sin necesidad de ejecutar ningún archivo adjunto.

Cuando abrimos el e-mail para leerlo (es un mensaje con formato HTML, con el asunto "RE: FINANCING" y un archivo .VBS adjunto, conteniendo el código del virus, el cuál no es necesario abrir para contagiarnos), aparece un texto donde se pide habilitar la opción ActiveX, en un intento de engañarnos para que lo permitamos, de modo de ejecutar el virus cuando el mensaje es visualizado.

Si se lo permitimos, al ejecutarse, el virus modifica el registro, agregando la siguiente clave:

HKCU\Software\(ANSWER) "Worm made wih vbswg 1.50b"

También copia un archivo llamado VB1.COM.VBS en la carpeta del sistema (C:\WINDOWS\SYSTEM), y agrega otra entrada al registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
VB1 = Wscript.exe C:\Windows\System\vb1.com.vbs

Esto hará que el virus se ejecute en cada inicio de Windows.

Otras claves del registro modificadas:

HKCU\Software\(ANSWER)\mailed 0
HKCU\Software\(ANSWER)\mailed 1

Cero si no es posible utilizar el Outlook para reenviarse, 1 si lo es.

HKCU\Software\(ANSWER)\mirqued 0
HKCU\Software\(ANSWER)\mirqued 1

Cero si no es posible utilizar el mIRC para reenviarse, 1 si lo es.

HKCU\Software\(ANSWER)\pirched 0
HKCU\Software\(ANSWER)\pirched 1

Cero si no es posible utilizar el Pirch para reenviarse, 1 si lo es.

Si el Outlook está disponible, el gusano se envía a todos los usuarios de la libreta de direcciones del mismo, en un mensaje similar al recibido:

Asunto: RE:FINANCING

Texto:
 You need ActiveX enabled if you want to see this e-mail.
Please open this message again and click accept ActiveX
Microsoft Outlook

Traducción: "Necesita tener ActiveX habilitado para poder visualizar este e-mail. Por favor abra este mensaje otra vez y pinche en ACEPTAR ActiveX en el Outlook".

El cuerpo del mensaje, como vimos, está con formato HTML, y esconde y ejecuta el código en Visual Basic Script del virus cuando el mensaje es abierto.

Si el programa para chat (IRC), mIRC está presente, el virus crea también un archivo SCRIPT.INI. En cambio crea EVENTS.INI si el cliente de IRC es el Pirch. Estos archivos contienen instrucciones para unirse automáticamente a un canal IRC, y enviar el código viral (VBS) a otros usuarios en el mismo canal.

El virus también infecta otros archivos VBS y VBE, en todos los discos y unidades de red compartidas, sobrescribiéndolos con su código.

También exhibe el siguiente mensaje:

YOU WILL NOT FORGET THIS MOMENT, NEVER!

Las indicaciones de la infección, pueden venir por la presencia de un mensaje en formato HTML, con el asunto "RE: FINANCING", y la existencia de un archivo "VB1.COM.VBS" en C:\Windows\System.

Note la doble extensión (.COM.VBS). Los .VBS son ejecutables de (VBScript). Al ser su extensión .COM.VBS, la extensión .VBS quedará oculta por lo general.

Para que ello no ocurra, recomendamos DESMARCAR dicha opción para poder ver siempre la verdadera extensión de un archivo.

Para hacer esto debemos ir a Inicio, Configuración, Opciones de carpetas en Windows 98, o en cualquier menú Ver de Windows 95, en Opciones (u Opciones de carpetas), y en la opción Ver, DESMARCAR la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

Para eliminarlo manualmente

1. Con el REGEDIT (Inicio, Ejecutar, escribir REGEDIT y pulsar Enter), buscar las siguientes ramas del registro:

HKEY_CURRENT_USER\Software\(ANSWER)

Borrar la carpeta "(ANSWER)" si aparece.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 VB1

Borrar la carpeta "VB1".

2. Reiniciar la computadora desde Inicio, Apagar el sistema, Reiniciar.

3. Ir a Inicio, Buscar, Archivos y carpetas, y buscar Script.INI, Events.INI, VB1.COM.VBS. Si se encuentran, borrarlos.

4. Revise su computadora con uno o dos antivirus actualizados.

Fuentes: F-Secure, Trend Micro, McAfee, Panda

 

Copyright 1996-2000 Video Soft BBS