Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Hard-A. Simula ser un aviso de Symantec (Norton)
 
VSantivirus No. 309 - Año 5 - Domingo 13 de mayo de 2001

Nombre: VBS/Hard@MM
Alias: VBS/Hard-A
Tipo: Gusano de Visual Basic Script
Fecha: 12/may/01
Tamaño: 23,268 bytes
Reportado activo: Si

Este gusano utiliza el Outlook Express para propagarse, enviándose a toda su libreta de direcciones, cada vez que Windows se reinicia . El gusano arriba en un mensaje simulando ser una advertencia de la empresa Symantec (Norton Antivirus), con un adjunto infectado.

Asunto: FW: Symantec Anti-Virus Warning

Texto:
----- Original Message ----- 
From: warning@symantec.com 
To: supervisor@av.net ; 
security@softtools.com ; 
mark_fyston@storess.net ; directorcut@ufp.com ; 
pjeterov@goldenhit.org ; 
kim_di_yung@freeland.ch ; 
james.heart@macrosoft.com 
Subject: FW: Symantec Anti-Virus Warning 

Hello, 

There is a new worm on the Net. 
This worm is very fast-spreading and very dangerous! 

Symantec has first noticed it on April 04, 2001. 

The attached file is a description of the worm and how to
protect your pc against it. 

With regards, 
F. Jones 
Symantec senior developer 

Archivo adjunto: www.symantec.com.vbs (23,268 bytes)

Es interesante observar que el nombre del archivo, hábilmente camuflado, puede hacer pensar a más de uno, que se trata de un link a un sitio Web (www.symantec.com), porque por defecto Windows oculta las extensiones de los tipos de archivos conocidos.

Si el usuario pincha sobre el adjunto, el gusano se ejecuta, y aparece una ventana de MS-DOS donde se muestra lo siguiente:

Symantec Anti-Virus Check-up.
1 file(s) copies
c:\SWITCH\www.symantec.com.hta => c:\www.symantec.com.hta [ok]

Un poco después, una ventana de aplicación HTML con el título "SARC Write-up - VBS.AmericanHistoryX_II@mm" es creada. Este ventana se abre mostrando una página estructurada en forma similar que las páginas de información del sitio de Symantec, y el texto describe un inexistente gusano llamado "VBS.AmericanHistoryX_II@mm".

Al final de la misma, aparece una leyenda "Write-up by:" con el nombre del autor del virus.

En forma adicional, la página de inicio del Internet Explorer es configurada para que muestre este contenido, y para ello el gusano modifica la siguiente clave del registro:

HKCU\Software\Microsoft\Internet Explorer\Main\
Start Page= c:\www.symantec.com.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}

El gusano libera entonces un script .VBS y un archivo .BAT en el raíz de la unidad C:

C:\message.vbs
C:\switch.bat

C:\message.vbs contiene las instrucciones para mostrar una ventana de mensajes el 24 de noviembre con este texto:

Some shocking news

Don't look surprised!
It is only a warning about your stupidity
Take care!

El archivo c:\switch.bat, copia c:\www.symantec.com.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B} como c:\www.symantec.com.hta

Tanto c:\www.symantec.com.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B} como c:\www.symantec.com.hta, contienen las instrucciones para mostrar la falsa página de Symantec con la descripción del inexistente virus VBS.AmericanHistoryX_II@mm.

C:\www.symantec.com.vbs es la copia del gusano que será enviada vía e-mail.

C:\www.symantec_send.vbs contiene la rutina de envío.

Las siguientes claves del registro son creadas para cargar los distintos componentes del gusano en el arranque de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Message = c:\message.vbs 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Outlook = c:\www.symantec_send.vbs 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Symantec = c:\infected with Virus.vbs

Esta última entrada no produce ningún efecto, porque el virus no crea jamás el archivo mencionado en ella (c:\infected with Virus.vbs)

Las demás claves, ocasionan que el virus se ejecute en cada inicio de Windows.

El gusano se envía a si mismo a todos los contactos de la libreta de direcciones del Outlook Express, cada vez que Windows se reinicia.

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "Run". En el panel de la derecha busque y borre los siguientes nombres:

Message         "c:\message.vbs"
Outlook           "c:\www.symantec_send.vbs"
Symantec        "c:\infected with Virus.vbs"

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Borre además los siguientes archivos, si aún están en su PC:

c:\message.vbs 
c:\switch.bat 
c:\www.symantec.com.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B} 
c:\www.symantec.com.hta 
c:\www.symantec.com.vbs 
c:\www.symantec_send.vbs

Para cambiar la página de inicio del Internet Explorer, abra el IE, vaya a Herramientas, Opciones de Internet. En "General", cambie la dirección URL para su página de inicio, o pinche Predeterminada o Usar página en blanco.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS

Fuente: Sophos, Network Associates
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS