Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS.Noped.A@mm. Un virus contra la pornografía infantil
 
VSantivirus No. 321 - Año 5 - Viernes 25 de mayo de 2001

Nombre: VBS.Noped.A@mm
Tipo: Gusano de Visual Basic Script
Fecha: 22/may/01

Se propaga a través del correo electrónico y una de sus características es abrir el bloc de notas de Windows para mostrar un texto relacionado con las leyes contra la pornografía infantil.

También modifica la página de inicio del Internet Explorer y busca ciertos archivos (con nombres que podrían significar un contenido sexual o pornográfico) con extensiones .JPG y .JPEG en todas las unidades de disco locales o en red. Si los encuentra, el gusano envía un mensaje a un destinatario seleccionado al azar de una lista de agencias gubernamentales norteamericanas, adjuntando dichas imágenes y un listado de directorios de la PC infectada.

Se envía a si mismo a todas las entradas de la libreta de direcciones, y otras direcciones encontradas en la PC de la víctima en un mensaje con el asunto:

FWD: Help us ALL to END ILLEGAL child porn NOW

Y como archivo adjunto:

END ILLEGAL child porn NOW.TXT............vbe

Note la doble extensión (.VBE). Por defecto, Windows solo mostrará la extensión .TXT:

END ILLEGAL child porn NOW.TXT

Cuando el usuario abre el adjunto, el virus realiza estas tareas:

Se envía a si mismo a todas las direcciones de correo electrónico encontradas en la computadora infectada.

Si la fecha actual es posterior al 1 de mayo de 2001, el mensaje infectado será el siguiente:

Asunto: FWD: Help us ALL to END ILLEGAL child porn NOW

Texto:
Hi, just a quick e-mail. Please read the attached document as soon as you can. Thanks.

Archivo adjunto:
END ILLEGAL child porn NOW.TXT............vbe

Si por alguna razón la fecha fuera anterior a la mencionada, el asunto, texto y nombre del adjunto, serían caracteres sin sentido tomados al azar.

Luego, el gusano abre el bloc de notas, para mostrar el siguiente texto:

---- Comienzo del texto ----

In 1977 the Sexual Exploitation of Children Act (18 U.S.C. 2251-2253) was enacted. The law prohibits the use of a minor in the making of pornography, the transport of a child across state lines, the taking of a pornographic picture of a minor, and the production and circulation of materials advertising child pornography. It also prohibits the transfer, sale, purchase, and receipt of minors when the purpose of such transfer, sale, purchase, or receipt is to use the child or youth in the production of child pornography. The transportation, importation, shipment, and receipt of child pornography by any interstate means, including by mail or computer, is also prohibited

The Child Protection Act of 1984 (18 U.S.C. 2251-2255) defines anyone younger than the age of 18 as a child. Therefore, a sexually explicit photograph of anyone 17 years of age or younger is child pornography.

On November 7, 1986, the U.S. Congress enacted the Child Sexual Abuse and Pornography Act (18 U.S.C. 2251-2256), that banned the production and use of advertisements for child pornography and included a provision for civil remedies of personal injuries suffered by a minor who is a victim. It also raised the minimum sentences for repeat offenders from imprisonment of not less than two years to imprisonment of not less than five years.

On November 18, 1988, the U.S. Congress enacted the Child Protection and Obscenity Enforcement Act (18 U.S.C. 2251-2256) that made it unlawful to use a computer to transmit advertisements for or visual depictions of child pornography and it prohibited the buying, selling, or otherwise obtaining temporary custody or control of children for the purpose of producing child pornography.

On November 29, 1990, the U.S. Congress enacted 18 U.S.C. 2252 making it a federal crime to possess three or more depictions of child pornography that were mailed or shipped in interstate or foreign commerce or that were produced using materials that were mailed or shipped by any means, including by computer.

With the passage of the Telecommunications Act of 1996, (18 U.S.C. 2422) it is a federal crime for anyone using the mail, interstate or foreign commerce, to persuade, induce, or entice any individual younger than the age of 18 to engage in any sexual act for which the person may be criminally prosecuted.

The Child Pornography Prevention Act of 1996 amends the definition of child pornography to include that which actually depicts the sexual conduct of real minor children and that which appears to be a depiction of a minor engaging in sexual conduct. Computer, photographic, and photocopy technology is amazingly competent at creating and altering images that have been "morphed" to look like children even though those photographed may have actually been adults. People who alter pornographic images to look like children can now be prosecuted under the law.

---- Fin del texto ----

Luego de ello, el gusano modifica el registro de Windows para volverse a ejecutar en cada reinicio del sistema. Estos son los cambios:

HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
1 = 
2 = 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Fua =

También modifica la página de inicio del Internet Explorer, por la del autor del virus.

Después, el gusano busca en todas las unidades de disco (locales y mapeadas en red), aquellos archivos .JPG y .JPEG con determinadas características en su nombre, relacionadas con contenido sexual o pornográfico. Si encuentra algún archivo que cumpla las condiciones, envía entonces el siguiente mensaje a un destinatario seleccionado al azar de una lista de organismos y agencias del gobierno norteamericano:

Asunto: RE: Child Pornography

Texto:
Hi, this is Antipedo2001. I have found a PC with known Child Pornography files on the hard drive. I have included a file listing below and included a sample for your convenience.

Archivos adjuntos: [el archivo encontrado en la PC de la víctima y un listado de los directorios de la computadora infectada].

El gusano también modifica las siguientes ramas del registro, para deshabilitar algunos sonidos usados con ciertos eventos de Windows:

HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\.Default\.Current\

HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\SystemHand\.Current\

HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\SystemQuestion\.Current\

HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\SystemExclamation\.Current\

HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\SystemAsterisk\.Current\

HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\Open\.Current\

HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\.Default\Close\.Current\

También crea las siguientes claves en el registro:

HKEY_CURRENT_USER\Software\Poly\DATE1
HKEY_CURRENT_USER\Software\Poly\DATE2

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Runonce

3. Pinche en la carpeta "Runonce" y borre las siguientes claves de la ventana de la derecha (pinche sobre estos nombres y pulse Delete o SUPR):

1
2

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

5. Pinche en la carpeta "Run" y borre la siguiente clave de la ventana de la derecha (pinche sobre estos nombres y pulse Delete o SUPR):

Fua

6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Poly

7. Pinche en la carpeta "Poly" y borre las siguientes claves de la ventana de la derecha (pinche sobre estos nombres y pulse Delete o SUPR):

DATE1
DATE2

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Para restaurar la página de inicio del Internet Explorer

1. Abra el Internet Explorer, navegue hacia la página que desea dejar como su página de inicio.

2. Seleccione Herramientas y luego Opciones de Internet.

3. En General, Página de inicio, pinche en el botón "Usar actual" (o en "Usar página en blanco" si no desea conectarse a Internet cada vez que inicia el IE.


Para restaura los sonidos (opcional)

1. Abra Mi PC, Panel de control.

2. haga doble clic en Sonidos

3. Seleccione una de las Combinaciones o agregue los sonidos que desea para cada evento.


Información complementaria


Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:

  • En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
  • En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
  • En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS