|
VSantivirus No. 965 - Año 7 - Jueves 27 de febrero de 2003
VBS/Lisa.A. Asunto: "Click YES and vote against war!"
http://www.vsantivirus.com/lisa-a.htm
Se han visto alertas recientes de este gusano (abril 2003). VSAntivirus lo describe desde el 27 de febrero de 2003.
Nombre: VBS/Lisa.A
Tipo: Gusano de Visual Basic Script
Alias: VBS.Lisa.A@mm, Bloodhound.VBS.Worm, VBS.Charlene, VBS_LISA.A
Fecha: 25/feb/03
Tamaño: 17,370 bytes
Plataforma: Windows 32-bits
Este gusano escrito en Visual Basic Script, se envía en forma masiva a través del correo electrónico (Microsoft Outlook y Outlook Express), del mIRC, y de la red KaZaA.
El mensaje recibido, tiene como asunto: "Click YES and vote against war!". No presenta ningún adjunto, pero el cuerpo del gusano está embebido en el código HTML del mensaje.
Puede borrar archivos críticos del sistema, y hasta formatear la unidad C: en Windows 95, 98 y Me.
El gusano se ejecuta con solo leer el mensaje, salvo que se tengan instalados los parches o actualizaciones correspondientes del Internet Explorer y Outlook.
Primero, el gusano crea un archivo .VBS vacío en la carpeta de Windows:
C:\Windows\[nombre].vbs
El [nombre] está formado al azar por la combinación de 7 caracteres cualquiera.
"C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
Luego agrega la siguiente entrada al registro, para ejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre] = "wscript.exe c:\Windows\[nombre].vbs %"
Crea además un archivo .HTML con el código del gusano embebido en él. Este código, al ejecutarse intenta copiarse en el archivo vacío creado antes (C:\Windows\[nombre].vbs), y luego seguir ejecutándose desde allí.
También se copia a si mismo en la carpeta compartida del KaZaa, con los siguientes nombres:
Britney Spears nude.jpg.vbs
Christina Aguilera Nipple.jpg.vbs
Jennifer Lopez.mp3.vbs
Lolita.jpg.vbs
Madonna - Song.mp3.vbs
Silvia Saint Gangbang.avi.vbs
Luego, borra todos los mensajes de la bandeja de entrada del Outlook que tengan como asunto: "Click YES and vote against war!".
Envía el siguiente mensaje a todos los contactos de la libreta de direcciones de Windows:
Asunto: Click YES and vote against war!
Texto del mensaje:
[el cuerpo del archivo HTML creado antes]
También agrega la siguiente entrada en el registro:
HKEY_CURRENT_USER\Lisa\Mail
Send = 1
Esta entrada será chequeada en cada ejecución del gusano, y mientras exista el mismo no se volverá a enviar vía correo electrónico.
También crea 5,000 directorios con nombres al azar bajo la raíz de la unidad C:.
En cada directorio crea un archivo de texto con el siguiente contenido:
I will never stop loving you.
Examina después todas las carpetas y subcarpetas de todas las unidades mapeadas, y si encuentra el archivo MIRC.INI, el gusano intentará propagarse por los canales de chat utilizando el mIRC.
Si encuentra un archivo .VBS o .VBE, el gusano infectará dicho archivo, reemplazando su contenido original, por el código del propio gusano. El archivo de ese modo, es irrecuperable, a no ser que se copie de algún respaldo anterior.
También intentará borrar todos los archivos con extensión .DOC que encuentre.
Borra el archivo REGEDIT.EXE de C:\Windows. REGEDIT es el editor del registro.
Borra además los siguientes archivos de la carpeta \Windows, en caso de que el sistema haya sido infectado por el gusano durante más de tres días:
User.dat
User.bak
System.dat
System.bak
Win.ini
Agrega la siguiente clave en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDesktop = 00000001
Y si existe un archivo C:\Autoexec.bat, le agrega la orden para formatear la unidad C:, en el próximo reinicio de Windows (esto solo funciona en Windows 95, 98 y Me.
Reparación manual
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\Windows\[nombre].vbs
Borre también los 5,000 directorios con nombres al azar creados en C:\ (cada uno de ellos contiene un archivo de texto, como se explicó antes).
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Cómo recuperar REGEDIT.EXE
En Windows 98:
1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.
2. Marque "Extraer un archivo del disco de instalación"
3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:
REGEDIT.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").
En Windows Me:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Extraer archivo"
3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:
REGEDIT.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
[nombre] = "wscript.exe c:\Windows\[nombre].vbs %"
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Método para revisar Autoexec.bat
Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
* Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse OK.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat
3. Borre todas las líneas que contengan el comando FORMAT si ésta existiera:
4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.
Información adicional
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
El IRC y los virus
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
Actualizar Internet Explorer
Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:
Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm
O instale el IE 6.0, Service Pack 1 (SP1):
Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm
Y luego actualice su Internet Explorer como se explica aquí:
Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
01/abr/03 - Alias: VBS.Charlene, VBS_LISA.A
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|