VSantivirus No. 614 - Año 6 - Miércoles 13 de marzo de 2002
VBS/LoveLet-DO. Otra variante del "Colombia"
http://www.vsantivirus.com/lovelet-do.htm
Nombre: VBS/LoveLet-DO
Tipo: Gusano de Visual Basic Script
Fecha: 12/mar/02
Fuente: Sophos
Se trata de una variante menor de VBS/LoveLet-AS
y VBS/LoveLet-CA.
La principal diferencia, es que el día 17 de setiembre, este virus despliega una ventana con el mensaje:
Dedicated to my best brother=>Christiam Julian(C.J.G.S.)
Att. TEGIF (M.H.M. Team)
La palabra "TEGIF" será cualquier combinación al azar de 5 letras.
El gusano se reenvía a si mismo adjunto a un mensaje con estas características:
Asunto:
US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (http://WWW.2600.COM)<=
El "Asunto" también puede contener 6 letras al azar.
Texto:
VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURE..
El "Texto" también puede contener 10 letras al azar.
Datos adjuntos:
nombre_al_azar.EXTENSION.vbs
El asunto o el cuerpo (o ambos), pueden contener solo una cadena de caracteres en mayúsculas. El largo de esta cadena es de 6 caracteres, y el largo del cuerpo al azar es de 10 caracteres.
El VBS/Lovelet-DO intenta descargar los archivos MACROMEDIA32.ZIP, LINUX321.ZIP y
LINUX322.ZIP a través del Internet Explorer. A pesar de las extensiones, ninguno de los tres es un archivo ZIP. Uno es un archivo de texto y los otros dos, gráficos bitmap.
MACROMEDIA32.ZIP es el código del virus, y es copiado al directorio de Windows con el nombre
IMPORTANT_NOTE.TXT, y luego se modifica el registro para ejecutar este archivo en cada reinicio de la computadora.
Después, el virus copia LINUX321.ZIP y LINUX322.ZIP como LOGOS.SYS y
LOGOW.SYS, cambiando las pantallas de inicio y de cierre de Windows (ambos archivos en realidad son imágenes).
VBS/LoveLet-DO realiza también los siguientes cambios en el registro de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
plan columbia = important_note.txt
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LINUX32 = C:\Windows\System\LINUX32.vbs
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
reload = C:\Windows\reload.vbs
LINUX32.VBS y RELOAD.VBS son copias del propio gusano.
También crea otra copia de si mismo en el directorio Windows\System con un nombre de 5 a 8 caracteres seleccionados al azar y con la doble extensión
.GIF.VBS o .JPG.VBS.
Esta copia es la que el gusano enviará a todas las direcciones de la libreta del Outlook en los mensajes infectados.
Una vez ejecutado, el virus busca los archivos .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, .JPG, y .JPEG y los sobreescribe con su propio código. También cambia las extensiones
JPG y JPEG por .VBS.
Cuando encuentra archivos .MP3 y .MP2, los oculta cambiando sus atributos a ocultos (+H).
Para eliminarlo en forma manual
Borre los archivos creados por el gusano o el trojan. Siga estos pasos para hacerlo.
1. Pinche en Inicio, Buscar, Archivos o carpetas.
2. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".
3. En la casilla "Nombre" escriba (o "corte y pegue") los siguientes nombres (repita este paso un archivo por vez si no desea confundirse, pinchando en "Nueva Búsqueda" cada vez luego de la primera):
LINUX32.vbs
reload.vbs
important_note.txt
US-PRESIDENT-AND-FBI-SECRETS.HTM
4. Pinche en "Buscar ahora". Windows buscará todas las copias de este archivo en la unidad C:
5. Si aparece en la ubicación siguiente, márquelos (recuerde, repita los pasos 3 y 4 una vez por cada archivo sino desea confundirse):
c:\Windows\System\LINUX32.vbs
c:\Windows\reload.vbs
c:\Windows\important_note.txt
c:\Windows\System\US-PRESIDENT-AND-FBI-SECRETS.HTM
6. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.
7. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".
Remover las entradas del registro
Siga estos pasos para remover estas entradas (ATENCION, proceda con cuidado cada vez que haga modificaciones en el registro de Windows):
1. Salga de todos los programas.
2. Vaya a Inicio, Ejecutar.
3. Teclee REGEDIT y pulse Enter.
4. En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
5. Pulse sobre la carpeta "Run".
Si en la ventana de la derecha aparecen estos valores:
LINUX32
plan columbia
6. Borre la clave completa (marque el nombre "LINUX32" y pulse DELETE o SUPR, haga lo mismo con "plan columbia").
7. Conteste que SI a la pregunta de confirmación en cada caso.
8. En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
9. Pulse sobre la carpeta "RunServices".
Si en la ventana de la derecha aparece este valor:
reload
10. Borre la clave completa (marque el nombre "reload" y pulse DELETE o SUPR).
11. Salga del editor del registro (Registro, Salir).
12. Vaya a Inicio, Apagar el sistema. Seleccione "Reiniciar" y OK.
13. Revise su PC con un antivirus al día.
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Referencias:
4/nov/00 - Virus: VBS/LoveLet-AS -
Plan Colombia
12/dic/00 - VBS/LoveLet-CA. Variante del
"Colombia"
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|