Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

VBS/Nemite.B. "Have a good new year", adj: "fotompg.vbs"
 
VSantivirus No. 922 - Año 7 - Miércoles 15 de enero de 2003

 VBS/Nemite.B. "Have a good new year", adj: "fotompg.vbs"
http://www.vsantivirus.com/nemite-b.htm

Nombre: VBS/Nemite.B
Tipo: Gusano de Visual Basic Script
Alias: VBS/Moon-B, VBS/Moon.I, VBS_NEMITE.B, VBS/Nemite.b@MM, VBS/Nemite@MM, VBS.Moon@mm, Dial/Moon-B, mIRC/Simp-Fam, VBS_MOON.K, IRC_MOON.K
Fecha: 14/ene/03
Plataforma: Windows 32-bits

Se trata de un gusano que se propaga en forma masiva a través de un mensaje con un archivo adjunto llamado "fotompg.vbs", capaz de infectar con solo abrir el mensaje o visualizarlo en el panel de vista previa, ya que se aprovecha de una peligrosa vulnerabilidad basada en los ActiveX (ver "Precaución con grave falla en el Internet Explorer", http://www.vsantivirus.com/09-11-02b.htm). NOTA: Lea dicho artículo, ya que el riesgo con dicha falla es muy grave, y tal vez este gusano sea el primero (pero no el último), que se aproveche de la misma en forma maliciosa.

El mensaje tiene estas características:

Asunto: Have a good new year
 Texto del mensaje: Hi, look at this funny photo.......
 Datos adjuntos: fotompg.vbs

El mensaje contiene código HTML que se ejecuta al ser visualizado. Cuando ello sucede, primero abre una página Web que a su vez contiene un ActiveX script que descarga y ejecuta una copia del gusano en la carpeta C:\Windows, además de un archivo .EXE:

C:\Windows\pics.vbs
C:\Windows\girls.exe

Cuando "pics.vbs" se ejecuta, el gusano crea y ejecuta otro código:

C:\Windows\fotompg.vbs

Este script contiene la rutina que envía en forma masiva a toda la libreta de direcciones el mensaje ya descripto.

Luego crea la siguiente entrada en el registro, que le permite autoejecutarse cada vez que Windows se reinicia:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
explorer = C:\Windows\fotompg.vbs

El gusano también intenta crear un archivo SCRIPT.INI en el directorio del mIRC, si éste cliente de IRC está instalado. Cuando mIRC se ejecuta, las instrucciones en "Script.ini" le hacen enviar el gusano a todos los participantes de los canales de chat.

El gusano también cambia la página de inicio del Internet Explorer, por una correspondiente a un sitio pornográfico. Para ello modifica la siguiente clave del registro:

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
Start Page = http://[xxx].com/index.htm

El gusano también descarga en C:\Windows e intenta ejecutar el siguiente archivo:

C:\Windows\XXX_Adult.exe

Este archivo es un discador que se conecta a un servicio Web pornográfico. "XXX_Adult.exe" es descargado a su vez por el archivo "girls.exe", el que como vimos, fue descargado antes por el script ActiveX en la página Web mencionada al principio de la descripción.

En todos los casos, "C:\Windows" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME y XP, y como "C:\WinNT" en Windows NT/2000).

El gusano también modifica las siguientes claves del registro:

HKEY_CURRENT_USER\RemoteAccess\DialUI

HKEY_CURRENT_USER\Software\moon\explorerpf

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\3\1004

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
\Class\Modem\0000\Settings\SpeakerMode_Dial

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
\Class\Modem\0000\Settings\SpeakerMode_Off

El gusano también intenta sobrescribir con su propio código, todos los archivos con extensión .VBS de todas las carpetas y subcarpetas de todas los discos del sistema infectado, a excepción de los .VBS ubicados en la raíz de cualquiera de los discos.


Reparación manual

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos (no todos pueden estar presentes):

C:\Windows\pics.vbs
C:\Windows\girls.exe
C:\Windows\fotompg.vbs
C:\Windows\XXX_Adult.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. Busque las siguientes ramas del registro, y proceda a realizar los siguientes cambios:

Busque: HKEY_CURRENT_USER\RemoteAccess\DialUI

Acción: Pinche en el valor "DialUI" y asegúrese de que en "Información del valor" exista lo siguiente o agréguelo: "02 00 00 00" (sin las comillas)


Busque: HKEY_CURRENT_USER\Software\moon

Acción: Borre la carpeta "moon"


Busque: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\3\1004

Acción: Pinche en el valor "1004" y asegúrese de que en "Información del valor" exista un "3" o agréguelo.


Busque: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
\Class\Modem\0000\Settings\SpeakerMode_Dial

Acción: Pinche en el valor "SpeakerMode_Dial" y asegúrese de que en "Información del valor" exista el valor "m1" (la letra M y el número uno), o agréguelo.


Busque: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
\Class\Modem\0000\Settings\SpeakerMode_Off

Acción: Pinche en el valor "SpeakerMode_Off" y asegúrese de que en "Información del valor" exista el valor "m0" (la letra M y el número cero), o agréguelo.

3. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Cambiar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Pinche en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Pinche en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

7. Pinche en "Aceptar".


Actualizar Internet Explorer

Actualice su Internet Explorer según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-068)
http://www.vsantivirus.com/vulms02-067-068.htm#2

Si no descarga este parche, para no ejecutar scripts ActiveX, siga los consejos de esta página:

http://www.vsantivirus.com/09-11-02b.htm#11-11


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
17/ene/03 - Alias: VBS_MOON.K, IRC_MOON.K



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS