|
VSantivirus No. 594 - Año 6 - Jueves 21 de febrero de 2002
VBS/Gascript. El virus poeta
http://www.vsantivirus.com/gascript.htm
Nombre: VBS/Gascript
Tipo: Caballo de Troya en Visual Basic Script
Alias: VBS/Microbito
Fecha: 16/feb/02
Tamaño: 3,568 bytes
Es un caballo de Troya, que solo despliega un mensaje abriendo el bloc de notas para ello, y modifica además la página de inicio del Internet Explorer. No posee capacidad de reenviarse ni tampoco de infectar o modificar archivo alguno en el sistema afectado, salvo la copia de algunos archivos, incluso en disquetes.
Si el usuario ejecuta este archivo, el mismo se copia a si mismo en la siguiente ubicación:
C:\Windows\Camila.vbs
Luego agrega esta clave al registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Kuasanagui = wscript.exe C:\WINDOWS\camila.vbs %
De este modo se ejecutará cada vez que Windows se reinicia.
También crea el archivo "C:\Windows\El microbito.txt", conteniendo el siguiente texto en español (este texto es mostrado por el troyano al ejecutarse, abriendo el bloc de notas para ello):
Quisiera ser un microbito,
que habite en tu cuerpo,
hay para estar muy calientito,
casi todo el tiempo,
beber de tu sangre,
y en tu carne descansar,
de ti me voy a alimentar.
Quiero vivir en una arteria,
junto a tu corazon,
tu cuerpo para mi seria,
como una gran mansión,
correr por tus venas,
y en su sangre siempre estar,
de ahi nadie me podra sacar.
Hare una alberca en tu ombliguito,
pa meterme a nadar,
y si me voy mas abajito,
nadie me sacara,
beber de tu sangre,
y en tu carne descansar,
de ti me voy a alimentar.
De ti me voy a alimentar.
Modifica las siguientes claves del registro para cambiar la pantalla de inicio por defecto del Internet Explorer:
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page
Window title
También intentará copiarse a la disquetera. Si lo hace (si hay un disquete insertado y la lengüeta de seguridad permite la escritura), lo hará con alguno de estos nombres:
Fobia.txt.vbs
Mundo feliz.mp3.vbs
Amor chiquito.jpg.vbs
Fobia on ice.mp3.vbs
Leche.html.vbs
Microbito.mp3.vbs
Se trata del código del troyano, con doble extensión, lo que oculta la verdadera
(.VBS) en un sistema configurado por defecto.
Cómo borrar manualmente el virus
Para borrar manualmente el troyano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Luego, siga estos pasos:
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Teclee CAMILA.VBS y pulse ENTER
3. Borre CAMILA.VBS si aparece
4. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter
5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
6. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada
"Kuasanagui", "wscript.exe C:\WINDOWS\camila.vbs
%" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
9. Borre los archivos copiados a los disquetes. Para ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
- En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
- En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
- En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.
Luego, en la lengüeta "Ver", DESMARQUE la opción
"Ocultar extensiones para los tipos de archivos
conocidos" o similar. También MARQUE la opción
"Mostrar todos los archivos y carpetas ocultos" o similar.
Más información:
VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm
10. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de
inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en
Herramientas, Opciones de Internet, General, y finalmente pinche en
"Usar actual".
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Notas
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Glosario:
Windows Scripting Host (WSH). Es un interprete de Java Script y de Visual Basic Script, que puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus en dichos lenguajes. Está instalado por defecto en Windows 98 y posteriores.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|