Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Merlin.B@mm. Puede obligar a reinstalar Windows
 
VSantivirus No. 385 - Año 5 - Sábado 28 de julio de 2001

Nombre: VBS/Merlin.B@mm
Tipo: Gusano de Visual Basic Script
Alias: VBS.Eva@mm, VBS.Merlin.A@mm
Fecha: 27/jul/01

Este gusano es capaz de enviarse masivamente a través del correo electrónico a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.

Escrito en Visual Basic Script (VBS), el gusano puede propagarse también a través de unidades de red y canales de IRC (1).

Una de sus rutinas genera 2500 carpetas con nombres al azar, colgando del raíz de C, y coloca en cada una de ellas un archivo de texto.

También puede infectar la plantilla NORMAL.DOT de Word, sobrescribir archivos .VBS, .VBE, .WSH, .EXE, .XLS, y .COM, y borrar archivos del sistema de Windows.

Se distribuye en un mensaje con el asunto: "Re: Microsoft Security Bulletin"

Si se abre el mensaje (o se lee en la vista previa), saldrá esta ventana:

Internet Explorer

Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?

[    Si    ] [    No    ] 

Si usted selecciona SI, el gusano se activará, copiándose a si mismo a la carpeta C:\Windows utilizando un nombre generado al azar.

También genera el archivo C:\WINDOWS\SEXSELLS.HTML, el cuál puede ser detectado por los antivirus como una variante del
LoveLetter (ILOVEYOU).

Modifica el registro del sistema de Windows, de modo que cada vez que se abre algún archivo con las extensiones siguientes, se ejecuta antes el propio virus:

.JS 
.DOC
.GIF
.JPG
.HTT
.BMP
.AVI
.MPG
.SHS
.MP3

También modifica el nivel de seguridad local y de Internet de la computadora infectada en el registro.

Luego, busca otras computadoras conectadas a la red local, y si existe alguna, se copia a si mismo en ellas.

Infecta la plantilla global de Word (NORMAL.DOT), siendo identificada esta infección como una variante más del Melissa.

Borra cualquier mensaje con el asunto "Re: Microsoft Security Bulletin." presente en la Bandeja de entrada del Outlook.

También se envía como un mensaje en formato HTML a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.

El mensaje infectado presenta las siguientes características:

Asunto: Re: Microsoft Security Bulletin
Texto: You need ActiveX enabled if you want to see this e-mail.
Please open this message again and click accept ActiveX. Microsoft

El mensaje puede ser detectado como una variante del LoveLetter.

Si en el sistema se encuentra el programa mIRC, el gusano modifica su archivo SCRIPT.INI, para poder propagarse a través de los canales de chat  (1) donde se conecte el usuario infectado.

El gusano examina las extensiones de archivos instalados en la computadora infectada, y de acuerdo a ello, genera las siguientes acciones:

Si la extensión es .VBS, .VBE, o .WSH, sobreescribe estos archivos.

Si la extensión es .HTM o .HTML, los suplanta por el archivo SEXSELLS.HTML.

Si la extensión es .JPG o .MP3, los borra directamente.

Si la extensión es .EXE, .XLS, o .COM, el gusano sobreescribe estos archivos y les agrega la doble extensión .VBS.

Luego, genera hasta 2,500 carpetas con nombres generados al azar, en el raíz de C. Cada una de estas carpetas contendrá un archivo de texto.

El gusano ejecuta el asistente "Merlin" del Microsoft Agent (2) y despliega el siguiente mensaje hablado: "Everybody need somebody! that's why i love you!"

Luego, borra el editor del registro (REGEDIT.EXE).

A los tres o más días desde que ocurrió la infección, el gusano borra los siguientes archivos:

c:\windows\user.dat 
c:\windows\user.bak 
c:\windows\system.dat 
c:\windows\system.bak 
c:\windows\regedit.exe

USER.DAT y SYSTEM.DAT son los archivos del registro de Windows. Su borrado puede significar la reinstalación de los mismos desde un respaldo, o la de Windows completo.

El archivo AUTOEXEC.BAT es modificado para que el contenido del disco C sea borrado en el siguiente reinicio de Windows.

Los días 2 de cualquier mes, el gusano intenta borra el registro del sistema, y descargar de Internet un determinado archivo, al cuál luego ejecuta desde la carpeta WINDOWS\SYSTEM:

c:\windows\system\cih.exe

Las siguientes entradas del registro son modificadas:

hkcr\.js\ 
hkcr\.doc\ 
hkcr\.gif\ 
hkcr\.jpg\ 
hkcr\.htt\ 
hkcr\.bmp\ 
hkcr\.avi\ 
hkcr\.mpg\ 
hkcr\.shs\ 
hkcr\.mp3\ 
hkcr\vbsfile\editflags 
hkcu\software\microsoft\windows script host\settings\remote 
hkcu\software\microsoft\windows script host\settings\timeout 
hkcu\software\microsoft\windows script host\settings\enabled 
hkcu\software\microsoft\windows script host\settings\trustpolicy 
hkcu\software\microsoft\windows\currentversion\registeredowner 
hkcu\software\microsoft\windows\currentversion\internet settings\zones\0\1200 
hkcu\software\microsoft\windows\currentversion\internet settings\zones\0\1201 
hkcu\software\microsoft\windows\currentversion\internet settings\zones\0\1004 
hkcu\software\microsoft\windows\currentversion\internet settings\zones\1\1200 
hkcu\software\microsoft\windows\currentversion\internet settings\zones\1\1201 
hkcu\software\microsoft\windows\currentversion\internet settings\zones\1\1204 
hkcu\software\microsoft\windows\currentversion\internet settings\zones\3\1200 
hkcu\software\microsoft\windows\currentversion\internet settings\zones\3\1201 
hkcu\software\microsoft\windows\currentversion\internet settings\zones\3\1004 
hkcu\software\microsoft\windows\currentversion\policies\explorer\nodesktop 
hkcu\software\microsoft\windows\currentversion\run

Para quitar el gusano de una computadora infectada

Ejecute uno o dos antivirus al día, y borre los archivos infectados por VBS/Merlin.B@mm.

Si el gusano se ha ejecutado, usted deberá recuperar archivos dañados o borrados por el virus, desde un respaldo anterior limpio. En algunos casos, deberá reinstalar Windows.

Puede recuperar el registro desde una copia anterior, o realizar manualmente los siguientes cambios:

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
CLASSES

3. Colgando de CLASSES, busque las siguientes carpetas (una por vez).

.JS
.DOC
.GIF
.JPG
.HTT
.BMP
.AVI
.MPG
.SHS
.MP3

4. Por cada una de estas carpetas, haga doble clic en ella.

5. Por cada una de estas carpetas, seleccione en la ventana de la derecha el nombre "(predeterminado)" y haga doble clic sobre él.

En la ventana de edición, en "Información del valor", reemplace el valor "Eva" por el texto correcto, de acuerdo a la siguiente lista (estos son los valores por defecto. si usted instaló algún programa que modifica la asociación de archivos, deberá reinstalarlo para que vuelva a funcionar correctamente). Por ejemplo, para los archivos .JS, deberá escribir en "Información del valor": jsfile

Esta es la lista completa:

  .JS    cambiar por   jsfile
  .DOC   cambiar por   wordpad.document.1
  .GIF   cambiar por   giffile
  .JPG   cambiar por   jpegfile
  .HTT   cambiar por   c
  .BMP   cambiar por   paint.picture
  .AVI   cambiar por   avifile
  .MPG   cambiar por   mpegfile
  .SHS   cambiar por   shellscrap
  .MP3   cambiar por   mp3file

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
CLASSES
VBSFile

7. En el panel de la derecha, borre el siguiente valor:

Editflags

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Eva

9. Pinche sobre "Eva" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrarla.

10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

11. En el panel de la derecha, borre las entradas que tengan alguna similitud con la siguiente (los nombres se generan al azar):

wscript.exe C:\Windows\AOIFLKDBNFOIFSDSFKLSDF.doc.vbs %

12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion

13. En el panel de la derecha, haga doble clic sobre esta entrada:

Registered Owner

14. En la ventana "Información del valor" borre "VBS.Eva@mm" y coloque el suyo, o el del usuario registrado de Windows.

15. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Office
9.0
Word
Security

16. En el panel de la derecha haga doble clic sobre el valor "Level"

17. Reemplace el 1 por un 3, y pinche en Aceptar

18.
En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersions
Internet Settings
Zones

Seleccione cada una de las siguientes entradas, y por cada una de ellas, en el panel de la derecha, haga doble clic sobre el valor y reemplace el 1 por un 0 (cero).

En la carpeta "0" (bajo Zones), seleccione los siguientes valores:

1200
1201
1004

En la carpeta "1" (bajo Zones), seleccione los siguientes valores:

1200
1201
1004

En la carpeta "3" (bajo Zones), seleccione los siguientes valores:

1200
1201
1004

19. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows Scripting Host

20. Borre la carpeta "Windows Scripting Host"

21. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Policies
Explorer

22. En el panel de la derecha, seleccione "NoDesktop" y bórrelo.

23. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

24. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar) y ejecute uno o dos antivirus al día.


Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS


Vea también:

VSantivirus No. 366 - 9/jul/01
Consejos: Outlook y Outlook Express más seguros

VSantivirus No. 349 - 22/jun/01
VBS/Merlin.A@mm. Simula ser una "prueba" de Windows XP

VSantivirus No. 399 - 11/ago/01
VBS/Merlin.C@mm. Usa el mail, el IRC y el Gnutella


Glosario:

(1) IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.

(2) MICROSOFT AGENT - Control ActiveX usado para visualizar los mensajes hablados que se utilizan en algunas páginas Web para permitir una comunicación interactiva con el usuario. Admite la presentación de caracteres animados e interactivos desde la interfaz de Windows. Los caracteres pueden presentar, guiar, entretener e incluso mejorar las páginas Web, haciendo de la interacción con el usuario algo tan natural como una comunicación de persona a persona. Más datos: http://msdn.microsoft.com/msagent/default.asp


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS