Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Nightflight@mm. Se propaga sin usar archivos adjuntos
 
VSantivirus No. 316 - Año 5 - Domingo 20 de mayo de 2001

Nombre: VBS/Nightflight@mm
Tipo: Gusano de Visual Basic Script
Alias: Bloodhound.VBS.Worm
Tamaño: 11,846 bytes (aumenta en cada ejecución)
Fecha: 16/may/01

Se trata de un gusano capaz de enviarse masivamente a través del correo electrónico, escrito en Visual Basic Script, y con características polimórficas (cambia de forma en cada infección).

Se envía a todos los contactos de la libreta de direcciones del Microsoft Outlook, y también es capaz de propagarse a través de las unidades de disco compartidas en una red.

Posee la característica de poder modificar el papel tapiz usado en el escritorio de la PC infectada; puede usar el mIRC para propagarse también por los canales de chat (1), cambiar la información relativa al usuario de la computadora infectada, y bajar los niveles de seguridad de esta computadora.

Posee una rutina que se activa los viernes y sábados de cada semana.

Si se ejecuta un viernes, el escritorio es deshabilitado. Si en cambio se ejecuta un sábado, y siempre que se tenga instalado el Microsoft Agent versión 2, aparece sin llamarlo, el asistente de Windows conocido como Merlin (2).

Cuando está activo, causa la degradación del rendimiento del sistema, debido a que se mantiene activo en memoria, en un proceso sin fin.

Otra de sus características, es la de poder bajar los niveles de seguridad de Internet.

Llega en un mensaje sin archivos adjuntos, y con este asunto:

HI :-)

El gusano está incluido en el propio mensaje con formato HTML, y por lo tanto no es necesario abrir ningún adjunto para que se ejecute, basta con abrir el mensaje.

Cuando se ejecuta, el virus modifica la siguiente rama del registro, para ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

El valor (el nombre de la entrada en la ventana que aparece a la derecha en el REGEDIT) varía en cada infección, pero siempre posee 7 caracteres con el primero en mayúsculas y el resto en minúsculas.

La información del valor de estas claves siempre incluye el ejecutable del Windows Scripting Host (wscript.exe), y como parámetro el camino completo de la carpeta usada por Windows (C:\WINDOWS por defecto), seguida de "\help.txt.vbs %".

Cada vez que el gusano es ejecutado, el mismo se agrega al registro, de ese modo, existirán tantos valores en la clave RUN como veces se haya ejecutado el virus en la computadora. En ese caso, el registro podría mostrarse así, si usamos el editor del registro (REGEDIT) para verlo:

Buscamos la clave mencionada:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Pinchamos en la carpeta RUN, y en la ventana de la derecha (no necesariamente en este orden), veríamos algo como esto:

Nombre            Datos

Predeterminado    "(Valor no establecido)"
LoadPowerProfile  "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme"
Pghtuar           "wscript.exe C:\WINDOWS\help.txt.vbs %"
Pzasejk           "wscript.exe C:\WINDOWS\help.txt.vbs %"
ScanRegistry      "C:\WINDOWS\scanregw.exe /autorun"
SystemTray        "SysTray.Exe"
TaskMonitor       "C:\WINDOWS\taskmon.exe"
Tngsost           "wscript.exe C:\WINDOWS\help.txt.vbs %"
Zdjkqtb           "wscript.exe C:\WINDOWS\help.txt.vbs %"
En este caso, todas las entradas cuyos datos contienen "wscript.exe C:\WINDOWS\help.txt.vbs %" corresponden al gusano, y se irán agregando más en cada reinicio de Windows (las otras claves solo se dan como ejemplo, y podrían verse diferentes en otras computadoras, así como existir otras no mostradas aquí).

Luego el gusano revisa la existencia de esta otra clave en el registro:

HKEY_CURRENT_USER\Software\Nightflight\send

Si la clave existe y su valor es "1", el gusano entra en un bucle sin fin. El propósito de esto es asegurarse de no ser borrado del sistema. Si el gusano se borra, el mismo vuelve a crearse.

Si la clave mencionada no existe, o no posee el valor "1", el gusano pasa directamente a sus otras acciones.

Primero, cambia su propio código, agregando líneas de comentarios en ubicaciones al azar. Simplemente inserta estos nuevos comentarios, pero no borra los anteriores, de modo que su tamaño aumenta (los comentarios, son líneas que no se ejecutan, por lo que no afectan el funcionamiento del código principal del virus).

El gusano también intenta bajar el nivel de seguridad de las opciones de Internet.

Luego, inicia su rutina de propagación a través del correo electrónico, enviándose a todos los contactos de la libreta de direcciones del Outlook y del Outlook Express.

Si en la computadora está instalado el conocido cliente para IRC (1), mIRC, el gusano es capaz de encontrarlo, haciendo una búsqueda tanto en las unidades de disco locales como en las mapeadas en red. Cuando encuentra el archivo de configuración del mIRC (MIRC.INI), copia en la misma carpeta el archivo SCRIPT.INI, el cuál contiene las instrucciones para que el gusano sea enviado a los participantes de los canales de chat a los que se conecte el usuario infectado, simulando ser un mensaje de dicho usuario.

Luego, el virus se copia a si mismo a todas las carpetas de todas las unidades de disco mapeadas en red que pueda encontrar. También intenta cambiar el papel tapiz del escritorio.

Si el día actual es viernes, el gusano modifica la clave del registro que hará que todos los iconos del escritorio desaparezcan, haciéndolo inaccesible. Además modifica el registro de modo que cada vez que el usuario pulse sobre el escritorio con el botón derecho, aparecerá una ventana con este texto:

Start the nightflight
[ Aceptar ]

Si el usuario pulsa en el botón [Aceptar], el gusano se vuelve a ejecutar.

El gusano también intenta cambiar la información de registro del usuario:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
RegisteredOrganization = "Carpe Noctem"
RegisteredOwner = "Nightflight"

Si el día actual es sábado, el gusano examina la existencia del Microsoft Agent version 2 en el sistema, buscando la presencia del asistente "Merlin" (2). Si lo encuentra, el virus hará aparecer a este asistente en una ventana pequeña y le hará decir lo siguiente:

The Nightflight is still out there

Finalmente, el gusano ingresa en un bucle infinito, en el cuál examina constantemente su presencia en el disco. Si fuera borrado, el gusano se volvería a crear.


Cómo borrar manualmente el virus


Para borrar manualmente el virus de un sistema infectado, ejecute primero dos o más antivirus actualizados en su sistema.

Luego siga estos procedimientos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha borre todas las claves que luzcan como estas, pinchando sobre los nombres de la primera columna (por ejemplo "Pghtuar", "Pzasejk", "Tngsost", "Zdjkqtb", etc.) y pulse la tecla SUPR o DEL en cada uno. Conteste afirmativamente la pregunta de si desea borrar la clave:

Pghtuar           "wscript.exe C:\WINDOWS\help.txt.vbs %"
Pzasejk           "wscript.exe C:\WINDOWS\help.txt.vbs %"
Tngsost           "wscript.exe C:\WINDOWS\help.txt.vbs %"
Zdjkqtb           "wscript.exe C:\WINDOWS\help.txt.vbs %"

Recuerde que el nombre es creado al azar, y por lo tanto estos son solo ejemplos. Lo único común en todos ellos es la presencia de "wscript.exe C:\WINDOWS\help.txt.vbs %" (pudiendo ser C:\WINDOWS diferente de acuerdo a la instalación de Windows realizada).

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion

5. Pinche sobre la carpeta "CurrentVersion" y en la carpeta de la derecha, busque y cambie las siguientes entradas por el nombre de la organización (RegisteredOrganization) y del usuario registrado (RegisteredOwner) (este cambio no es necesario y solo se sugiere por razones estéticas):

RegisteredOrganization   "Carpe Noctem"
RegisteredOwner          "Nightflight"

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Ejecute nuevamente un escaneo con dos o más antivirus actualizados y si existe, borre el archivo HELP.TXT.VBS de la carpeta de Windows (generalmente C:\WINDOWS). Para ver las extensiones siga las instrucciones del artículo "Algunas recomendaciones sobre los virus escritos en VBS" de VSantivirus No. 231 - 24/feb/01)..


Para restaurar los niveles de seguridad del Internet Explorer siga estos pasos:

1. Abra dicho programa, y seleccione Herramientas, Opciones de Internet

2. Pulse en la etiqueta Seguridad

3. Vuelva el nivel de seguridad a los valores predefinidos (pulsando sobre el botón Predeterminado para cada nivel)


Consejos generales


Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Si el sistema no tiene instalado el MS Outlook, el gusano no funcionará.

Tampoco funciona si se tiene desactivado el Windows Scripting Host. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS


Notas:


(1) IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.

(2) MICROSOFT AGENT - Control ActiveX usado para visualizar los mensajes hablados que se utilizan en algunas páginas Web para permitir una comunicación interactiva con el usuario. Admite la presentación de caracteres animados e interactivos desde la interfaz de Windows. Los caracteres pueden presentar, guiar, entretener e incluso mejorar las páginas Web, haciendo de la interacción con el usuario algo tan natural como una comunicación de persona a persona. Más datos: http://msdn.microsoft.com/msagent/default.asp


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS