Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Loveletter.CV. Otra versión del ILOVEYOU, en español
 
VSantivirus No. 467 - Año 5 - Jueves 18 de octubre 2001

Nombre: VBS/Loveletter.CV
Tipo: Gusano de Visual Basic Script
Alias: VBS.Loveletter.CV@mm
Tamaño: 4,425 bytes
Fecha: 16/oct/01

Es otra variante del LoveLetter o ILOVEYOU. Un gusano escrito en Visual Basic Script (VBS), capaz de enviarse a todos los contactos de la libreta de direcciones del Outlook.

El mensaje tiene estas características:

Asunto: [nombre del adjunto menos los últimos 7 caracteres]

Texto:
[Nombre del destinatario] Eres algo especial...escríbeme

Nombre del adjunto: [variable, con doble extensión]
Tamaño del adjunto: 4425 bytes

El nombre del archivo adjunto varía. En una de los ejemplos (Symantec) el archivo recibido se llamaba:

Hotmail - Carpeta Bandeja de entrada.htm.vbs

El gusano realiza el siguiente cambio en el registro de Windows, para poder ejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
THWIN = C:\WINDOWS\SYSTEM\THWIN.vbs

Cuando se ejecuta el adjunto, el gusano muestra este mensaje:

ERROR
Error de lectura. No se puede abrir el archivo.

Luego, que se ejecuta un adjunto infectado, el gusano se copia en la carpeta \Windows\System con los nombres Msword.vbs y Thwin.vbs:

C:\Windows\System\Msword.vbs 
C:\Windows\System\Thwin.vbs

Luego, selecciona al azar una de las siguientes extensiones, y borra los primeros cinco archivos (cada vez que se ejecuta), con dicha extensión:

.xls
.doc
.wav
.dwg
.mp3
.bak
.wav
.bmp
.htm
.hlp
.chm
.jpg
.gif
.scr
.ttf
.mid
.cdr
.mdb
.dbf
.ico

El gusano guarda una lista de los archivos borrados en el siguiente log:

C:\Windows\System\ListWin.txt

También intenta copiarse a si mismo en un disquete:

A:\Unsch.doc.vbs

La segunda vez que el gusano se ejecuta, espera 10 minutos e intenta copiarse a si mismo como Msword.vbs, a la unidad A, siempre que haya un disquete desprotegido en ella.

Para quitar manualmente el virus de un sistema infectado

1. Ejecute un antivirus al día, y borre los archivos identificados como "VBS/Loveletter.CV", etc.

2. Si desea, puede examinar que archivos han sido borrados en la máquina infectada, abriendo con el bloc de notas o el WordPad el archivo:

C:\Windows\System\ListWin.txt

3. Si alguno de los archivos allí incluidos, es el que usted necesita, deberá recuperarlo desde un respaldo.

4. Borre con REGEDIT (Inicio, Ejecutar, Regedit y Enter), la clave "THWIN" de la siguiente rama (pinchar en la carpeta "Run" y borrar "THWIN" en la ventana de la derecha):

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS