VSantivirus No. 349 - Año 5 - Viernes 22 de junio de 2001
Nombre: VBS/Merlin.A@mm
Tipo: Gusano de Visual Basic Script
Fecha: 18/jun/01
Este gusano es capaz de enviarse a todos los contactos de la libreta de direcciones del Outlook, de generar más de
500 carpetas con nombres al azar en el raíz de la unidad
C:, y de acuerdo a la fecha, puede descargar y ejecutar en la PC infectada otro gusano, borrar archivos del sistema, o formatear la unidad C.
Se propaga en un mensaje con las siguientes características:
Asunto: WindowsXP Betatest
Texto: This message has permanent errors. Sorry
Al ejecutarse, el virus se copia en todas las unidades de disco compartidas y mapeadas en red.
Si la fecha actual es 2 de cualquier mes, intentará descargar otro gusano de Visual Basic Script, y de ejecutarlo.
El archivo descargado, será copiado en esta ubicación, y con el siguiente nombre:
C:\WINDOWS\hp.exe
Luego modificará el registro para que HP.EXE se ejecute al reiniciarse el sistema, y para obligar que lo anterior ocurra inmediatamente, hará que Windows se reinicie.
También en esa fecha, intentará borrar los archivos del registro del sistema, además de borrar el editor del mismo
(REGEDIT.EXE).
Si la fecha es el 4 de cualquier mes, el gusano modificará el archivo
AUTOEXEC.BAT (en las versiones de Windows que lo utilizan), con las instrucciones necesarias para que se produzca el formateo de la unidad
C en el próximo reinicio de la computadora. Luego, también obliga a Windows a reiniciarse.
Si el día es 5 de cualquier mes, el virus realiza los cambios necesarios en el registro, para realizar algunas modificaciones en el escritorio de Windows.
El día 7 de cualquier mes, el gusano ejecuta el Microsoft Agent
(1) y despliega el siguiente mensaje:
Hör nicht auf zu strahlen, kleiner Stern!.
También modifica todos los archivos con las extensiones
.VBS y .VBE, agregándoles su código.
Las acciones del gusano al ejecutarse son las siguientes:
Primero, se copia a la carpeta de Windows (por defecto C:\WINDOWS), con un nombre al azar. Luego, genera en dicha carpeta el siguiente archivo:
C:\Windows\WindowsXP.html
Después de ello, se envía por correo a todas las direcciones de la libreta del Outlook. El mensaje infectado tiene las mismas características del descripto antes.
Concluido el envío, el gusano crea 500 carpetas con nombres generados al azar, todas ellas colgando del raíz de la unidad
C:. Cada una de esas carpetas, contendrá un archivo de texto.
Después de crear las carpetas, el gusano realizará las acciones anteriormente mencionadas, de acuerdo a la fecha actual.
También modificará el registro para que cada vez que se intente abrir archivos con las extensiones
.MP3 y .AVI, se ejecute antes el código del propio virus.
Todos los archivos con extensiones .VBS y .VBE serán modificados, agregándose el propio virus a su código.
También se modificará el archivo SCRIPT.INI del programa de chat
mIRC, con las instrucciones necesarias para propagar el archivo
C:\Windows\WindowsXP.html en los canales de chat en que participe el usuario, si posee ese programa instalado.
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
Como sacar el virus de un sistema infectado
Para limpiar manualmente el virus de un sistema infectado, siga estos pasos:
1. Ejecute un antivirus al día, y borre los archivos infectados por el virus. Los archivos
.VBS y .VBE originales, deberán ser recuperados de un respaldo.
2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter
3. Busque en la ventana de la izquierda la siguiente rama:
HKEY_CLASSES_ROOT
.mp3
4. En la ventana de la izquierda, modifique el valor asignado por el siguiente:
(Predeterminado) = mp3file
5. Busque la siguiente rama:
HKEY_CLASSES_ROOT
.avi
6. Modifique el valor por el siguiente:
(Predeterminado) = avifile
7. Busque la siguiente rama:
HKEY_CLASSES_ROOT
VBSFile
Editflags
8. Borre el valor "Editflags"
9. Busque la siguiente rama:
HKEY_CLASSES_ROOT
KleinerStern
10. Borre el valor "KleinerStern"
11. Busque la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
Windows Script Host
Settings
12. Borre los siguientes valores:
Timeout
Remote
Enabled
TrustPolicy
13. Busque la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
14. En la ventana de la derecha, busque y cambie el valor de
"RegisteredOwner" por su nombre (el del usuario registrado de Windows).
15. Busque la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Internet Settings
Zones
16. En la carpeta "0", busque y modifique en la ventana de la derecha los siguientes valores:
1200 = 1
1201 = 1
Borre el valor "1204"
17. En la carpeta "1", busque y modifique en la ventana de la derecha los siguientes valores:
1200 = 1
1201 = 3
Borre el valor "1204"
18. En la carpeta "3", busque y modifique en la ventana de la derecha los siguientes valores:
1200 = 0
1201 = 3
Borre el valor "1204"
19. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Glosario:
(1) MICROSOFT AGENT - Control ActiveX usado para visualizar los mensajes hablados que se utilizan en algunas páginas Web para permitir una comunicación interactiva con el usuario. Admite la presentación de caracteres animados e interactivos desde la interfaz de Windows. Los caracteres pueden presentar, guiar, entretener e incluso mejorar las páginas Web, haciendo de la interacción con el usuario algo tan natural como una comunicación de persona a persona. Más datos:
http://msdn.microsoft.com/msagent/default.asp
Ver también:
VSantivirus No. 366 - 9/jul/01
Consejos: Outlook y Outlook Express más seguros
VSantivirus No. 385 - 28/jul/01
VBS/Merlin.B@mm. Puede obligar a reinstalar Windows
VSantivirus No. 399 - 11/ago/01
VBS/Merlin.C@mm. Usa el mail, el IRC y el Gnutella
Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy
|