Asunto: Funny...Funny...Funny...stories

Texto: Here are some funny stories and I hope
you'll enjoy them. Have a good time! Bye

Archivo adjunto: Funnystories.txt               .vbs

Note la doble extensión, y la separación con espacios entre las mismas (.TXT y .VBS). Esto ayuda a hacer creer al usuario que el adjunto es un archivo de texto (.TXT), sin peligro para abrirlo, cuando esto no es así, ya que en realidad es un .VBS, que se ejecuta automáticamente si la computadora posee el Windows Scripting Host instalado.

Si el usuario hace doble clic sobre el adjunto, el gusano se copia a si mismo en estas ubicaciones, también con la doble extensión, y los espacios entre ambos, en el archivo "Funnystories.txt               .vbs":

C:\Windows\System\Funnystories.txt               .vbs
C:\Windows\System\Fun.dll.vbs

La ubicación en que intenta copiarse, "C:\Windows\System\", está escrita exactamente así en el código del gusano, y no como una variable, lo que hace que el virus falle si Windows está instalado en un camino o nombre diferente al estándar: C:\Windows

Cuando se ejecuta, el gusano crea estas claves del registro, y les asigna como valor el número 1.

HKCU\Software\Microsoft\Office\9.0\Outlook\Options\mail
Send Mail Immediately = 1

HKCU\Software\Microsoft\Office\8.0\Outlook\Options\mail
Send Mail Immediately = 1

Esto causa que el Outlook envíe sus mensajes de forma inmediata sin mostrar ventanas de confirmación.

Luego, el gusano agrega la clave "Fundll" al registro de Windows, para que él mismo se ejecute automáticamente en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Fundll C:\Windows\System\Fun.dll.vbs

Y por último, el virus se envía a todos los contactos de la libreta de direcciones, en un mensaje con las mismas características ya vistas al comienzo de esta descripción

Para quitar este virus de un sistema infectado, siga estos pasos:

1. Ejecute uno o más antivirus actualizado para escanear su sistema.

2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter

3. Abra la siguiente rama, hasta llegar a la carpeta "Run".

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

4. Pinche en la carpeta "Run" y en la ventana de la derecha, borre el valor "Fundll":

Fundll C:\Windows\System\Fun.dll.vbs

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Información complementaria

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

El virus utiliza el truco de la doble extensión para disimular la verdadera. Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

• En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
• En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
• En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Más información:

VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm


Fuente: Symantec

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com