Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans

Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

VBS/Gaggle.C. Datos adjuntos: AngelDelMar.HTML
 
VSantivirus No. 941 - Año 7 - Lunes 3 de febrero de 2003

VBS/Gaggle.C. Datos adjuntos: AngelDelMar.HTML
http://www.vsantivirus.com/gaggle-c.htm

Nombre: VBS/Gaggle.C
Tipo: Gusano de Internet y virus
Alias: HTML/Gaggle, VBS/Gaggle, Gaghiel, W32/Gaghiel.c@mm, VBS/Gaggle.C@mm
Plataforma: Windows 32-bits
Fecha: 2/feb/03
Tamaño: 16,342 bytes

Este gusano es una variante de Gaggle.A (ver "VBS/Gaggle.A. Datos adjuntos: AngelDelMar.HTML http://www.vsantivirus.com/gaggle.htm") y se propaga a través del correo electrónico, y del IRC utilizando el mIRC.

Cuando se ejecuta, crea copias de si mismo en formato HTML:

C:\Windows\Gaghiel.html
C:\Windows\System\AngeldelMar.html

Si se ejecuta desde un archivo ya infectado (.HTA), creará una copia de si mismo en la carpeta System de Windows:

C:\Windows\System\Gaghiel.vbs

En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Crea las siguientes entradas en el registro de Windows para autoejecutarse en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Gaghiel = C:\Windows\System\Gaghiel.vbs

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Domain Manager
Gaghiel = C:\Windows\System\Gaghiel.vbs

El gusano se envía entonces a todos los contactos de la libreta de direcciones en mensajes con las siguientes características (faltas de ortografía y gramaticales incluidas):

Versión 1:

Asunto: Articulo
Datos adjuntos: AngelDelMar.html
Texto del mensaje:
Te envio este articulo que encontr e en internet, es interesant e y tal vez te sirva, he estado un poco ocupado, luego te cuento. Adios

Versión 2:

Asunto: Efectos en web
Datos adjuntos: AngelDelMar.html
Texto del mensaje:
Hola, te envio esta pagina, tiene unos muy buenos efectos, a mi me sorprendio Te escribo luego, hay una cos a que quiero contarte. Adios

Versión 3:

Asunto: Revista virtual
Datos adjuntos: AngelDelMar.html
Texto del mensaje:
Hola, te envio el prospecto de suscrip cion de una buena revist a virtual, la revista llega a tu email y se puede leer como pagina web la pagina de suscripcion es interactiva, mirala a ver que te parece. Adios

Versión 4:

Asunto: Correo Seguro
Datos adjuntos: AngelDelMar.html
Texto del mensaje:
Estaba navegando en internet, y en una pagina vi un anuncio de una empresa de antivirus que revisaba si habia virus en el buzon de correo del servidor antes de que llege a tu computadora, la vent aja es que a diferencia de los antivirus caseros que no detectan virus nuevos ellos si los detectan ya que su b ase de datos esta actualizada a cada instante, hay mas detalles en la pagina que te envio, leela a ver que te parece, el servicio es gratis Adios y hasta pronto

Versión 5:

Asunto: Descargas gratis
Datos adjuntos: AngelDelMar.html
Texto del mensaje:
Hola, encontre una pagina en la que se puede descargar g ran variedad de cosas, como musica, programas y libros ; la descarga es gratis claro que hay que aguantar un po co de publicidad pero es buena pagina. Te envio una parte de la pagina que descargue para que veas, a tiene efectos y hay que aceptar el cuadro que da, sino no carga Luego te escribo, Adios

El gusano agrega a todos las direcciones a las que envía los correos, a las siguientes claves del registro:

HKEY_CURRENT_USER\Software\Microsoft\GHSetup
<dirección 1> = LCL
<dirección 2> = LCL
[etc.]

Para propagarse mediante el mIRC, busca las carpetas del programa (donde se encuentre MIRC32.EXE o MIRC.INI), y copia allí el archivo de configuración del programa SCRIPT.INI.

Este archivo contiene las instrucciones para propagarse en los canales de chat visitados por la víctima infectada, distribuyendo el archivo "AngeldelMar.html", junto al siguiente mensaje:

Hola, Crees en lo Paranormal?, si no mira
la pagina que te enviamos y visita
www.gratisweb.com/machinedramon1/gaghiel.html

El gusano configura el programa Outlook Express para que envíe sus mensajes infectados en formato HTML cada vez que se envía cualquier otro correo electrónico.

También puede propagarse a través de redes locales, infectando archivos de cualquier recurso compartido con las siguientes extensiones, copiándose al final de los mismos:

.HTM
.HTML
.HTA
.ASP
.PHP
.SHTM
.SHTML
.PHTM
.PHTML

Los archivos .VBS y .VBE en cambio serán sobrescritos por el propio código del gusano, siendo por lo tanto irrecuperables.

Para no reiterar la infección, el gusano busca en los archivos mencioandos, la cadena "Gaghiel".

También intentará eliminar los siguientes archivos:

Regedit.exe
Sfc.exe
Msconfig.exe
regedb32.exe
\Windows\Recent (todos los archivos en esa carpeta)

Si la fecha actual es superior al día 25 de cada mes, el gusano cambiará la página de inicio del Internet Explorer por la siguiente:

http://www.[xxx].com/machinedramon1/[xxx].jpg.scr

Si la suma del día y el mes es igual a 30 (29 de enero, 28 de febrero, 27 de marzo, etc.), el gusano muestra una ventana con el siguiente mensaje:

Gaghiel

Oracion antes de entrar al internet:

Satelite nuestro que estas en el cielo,
Acelerado sea tu link,
Venga a nosotros tu hipertexto,
Hagase tu conexion en lo real como en lo virtual
Danos hoy el download de cada dia,
Perdona el cafe en el Teclado,
Asi como nosotros perdonamos a nuestros proveedores,
No nos dejes caer la conexion,
Y libranos de todo Virus,
En nombre del Server, del Modem y del santo User-name.
Log-in

[  Aceptar  ]


Reparación manual

1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\Gaghiel.html
C:\Windows\System\AngeldelMar.html
C:\Windows\System\Gaghiel.vbs

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.


Editar el registro

Para editar el registro, deberá recuperar la herramientas que han sido borradas por el virus. Para ello siga los procedimientos del siguiente artículo:

Cómo recuperar archivos con SFC en Windows 98 y Me
http://www.vsantivirus.com/faq-sfc.htm

Siguiendo dichas instrucciones, recupere los siguientes archivos:

C:\WINDOWS\REGEDIT.EXE
C:\WINDOWS\SYSTEM\MSCONFIG.EXE
C:\WINDOWS\SYSTEM\SFC.EXE
C:\WINDOWS\SYSTEM\regedb32.exe

Los dos últimos, solo aparecen en algunas versiones de Windows.


1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Gaghiel

4. Borre también 'Domain Manager' bajo la carpeta 'Run'

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\GHSetup

6. Pinche en la carpeta "GHSetup" y bórrela. 

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Procedimiento para restaurar página de inicio

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Pinche en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Pinche en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

7. Pinche en "Aceptar".


Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm


Información adicional

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS