|
VSantivirus No. 959 - Año 7 - Viernes 21 de febrero de 2003
VBS/Kingpdt. Borra archivos AVI, MOV, MP3, MPEG, etc.
http://www.vsantivirus.com/kingpdt.htm
Nombre: VBS/Kingpdt
Tipo: Gusano de Visual Basic Script
Alias: Kingpdt
Plataforma: Windows 32-bits
Tamaño: 11793 bytes
Fecha: 19/feb/03
Este gusano, escrito en Visual Basic Script, se propaga con gran rapidez a través del correo electrónico, canales de chat (mIRC, pIRCh y vIRC), y redes de intercambio de archivos Peer-To-Peer (BearShare, eDonkey 2000, Grokster, ICQ, KaZaa, LimeWire, etc.).
Vía e-mail, puede usar una de las siguientes opciones para sus mensajes:
Opción 1:
Asunto: Fit to be King?
Datos adjuntos: SURVEY.VBS
Texto del mensaje:
Are you fit to be King? Read this file to find out :)
Opción 2:
Asunto: Sent file
Datos adjuntos: FILE1.VBS
Texto del mensaje:
Hello,
Here is the file that you asked for yesterday.
Opción 3:
Asunto: Wanted file
Datos adjuntos: IMPORTANT.VBS
Texto del mensaje:
Hello readers,
This is the file that a lot of people have been
asking for. I will only send this file once, SO
please don't ask for this file again.
Opción 4:
Asunto: The sample
Datos adjuntos: SAMPLE.VBS
Texto del mensaje:
Here is that sample that you asked for. Please
email me back and tell me what you think :)
Si en la computadora infectada, se encuentra el mIRC, el gusano crea un archivo SCRIPT.INI con las instrucciones para propagarse a si mismo.
También busca la presencia del cliente pIRCh. Si lo encuentra, modifica el archivo EVENTS.INI, con las mismas intenciones que en el caso del mIRC.
Si en la computadora infectada está instalado el programa vIRC (Virtual IRC), el gusano crea la siguiente entrada en el Registro:
HKU\.Default\Software\meGALiTH Software\Visual IRC96\Events\Event17
Con ello se envía a todos los usuarios que participen de los mismos canales de chat.
Para propagarse a través de los programas de intercambio de archivos (BearShare, eDonkey 2000, Grokster, ICQ, KaZaa, LimeWire, etc.), todos los archivos que encuentra en los siguientes directorios, son reemplazados por el código del gusano:
c:\archivos de programa\bearshare\shared
c:\archivos de programa\edonkey2000\incoming
c:\archivos de programa\gnucleus\downloads
c:\archivos de programa\gnucleus\downloads\incoming
c:\archivos de programa\grokster\my grokster
c:\archivos de programa\icq\shared files
c:\archivos de programa\kazaa lite\my shared folder
c:\archivos de programa\kazaa\my shared folder
c:\archivos de programa\limewire\shared
c:\archivos de programa\morpheus\my shared folder
c:\archivos de programa\shareaza\downloads
c:\kazaa\my shared folder
c:\my documents\my music
c:\my downloads
c:\my music
c:\mymusic
Además de ello, cada vez que el gusano se ejecuta, es capaz de sobrescribir con su propio código todos los archivos con las siguientes extensiones de la máquina infectada:
.ART
.AVI
.DIR
.GIF
.JPE
.JPEG
.JPG
.MOV
.MP2
.MP3
.MPE
.MPEG
.MPG
.PIC
.PNG
.TIF
.TIFF
.URL
Los archivos así modificados, son irrecuperables, puesto que su código es suplantado por el del gusano, borrándose el contenido original. El gusano cambia también la extensión original de estos archivos por la de .VBS.
Normalmente, este gusano no muestra ningún mensaje ni aviso cuando se ejecuta. La única advertencia (además de la que produzca un antivirus actualizado monitoreando), es la imposibilidad de abrir archivos con las extensiones mencionadas, quedando además inutilizables al cambiar su extensión original por la .VBS.
Cuando se ejecuta por primera vez, el gusano crea el siguiente archivo en la carpeta raíz de todas las unidades de disco locales:
C:\UNISNTALL.VBS
Ese archivo en realidad es una copia del propio gusano.
Además crea los siguientes archivos:
C:\Windows\System\ABOUT.VBE
C:\Windows\System\MSUPDT32.VBS
C:\Windows\System\MSUPDT32C.VBS
Este último archivo en ocasiones se crea también en la carpeta Windows:
C:\Windows\MSUPDT32C.VBS
Además, crea estos archivos, todos copias del propio gusano:
C:\Windows\System\CABFLDR32.VBS
C:\Windows\System\INSTMGR.VBS
C:\Windows\System\MSINET32.VBS
C:\Windows\System\OCXMGR32.VBS
C:\Windows\System\SETUPMGR.VBS
C:\Windows\System\WININET.VBS
C:\Windows\System\WSRVC32.VBS
C:\Windows\System\WUNSTC32.VBS
En ocasiones, esos archivos se copian alternativamente en la carpeta Windows:
C:\Windows\CABFLDR32.VBS
C:\Windows\INSTMGR.VBS
C:\Windows\MSINET32.VBS
C:\Windows\OCXMGR32.VBS
C:\Windows\SETUPMGR.VBS
C:\Windows\WININET.VBS
C:\Windows\WSRVC32.VBS
C:\Windows\WUNSTC32.VBS
Crea además la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Registry = wscript.exe %sysdir%MSUpdT32.vbs %1
Una vez infectado un equipo, el gusano se reenvía a todos los contactos de la libreta de direcciones del Outlook, en mensajes como los ya descriptos.
Para no despertar sospechas, esta acción se realiza en etapas, con poca cantidad de usuarios por vez.
Reparación manual
Deshabilitar las carpetas compartidas por programas P2P
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Registry
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
El IRC y los virus
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|