C:\Windows\System\VBS.Phybre.vbs

Luego de ello, modifica el registro de Windows para poder ser ejecutado en forma automática, en cada reinicio del sistema.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Phybre = C:\Windows\System\VBS.Phybre.vbs

Su rutina maliciosa se activa si el minuto actual es "39" (Por je: 23:39). Cuando ello ocurre, el troyano despliega un mensaje indicando cuántas veces se ha ejecutado el script, y cuántas ha sido notificado usted de su presencia. Los datos son tomados de estas claves del registro, las que son creadas también por el troyano para llevar dicha cuenta:

HKLM\Software\Microsoft\Windows\CurrentVersion\Phybre\Runs
HKLM\Software\Microsoft\Windows\CurrentVersion\Phybre\Notifies

También modifica el registro en un intento para ser ejecutado en cualquier momento que un archivo .HTM o .HTML sea abierto en su computadora:

HKCR\htmlfile\shell\open\command
(Predeterminado) = C:\Windows\System\Phybre.vbs

Debido a un error en el nombre del archivo, esta acción no ocurre.

Además, el valor (Predeterminado) original, presente en dicha clave, y que apunta al navegador por defecto, no es eliminado.

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Phybre

3. Pinche sobre la carpeta "Phybre", pulse la tecla SUPR o DEL y confirme que desea borrarla.

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

5. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

Phybre        "C:\Windows\System\VBS.Phybre.vbs"

6. Pinche sobre el nombre "Phybre" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
htmlfile
shell
open
command

8. Pinche sobre la carpeta "COMMAND". En el panel de la derecha, debería ver lo siguiente:

(Predeterminado)      "C:\ARCHIV~1\INTERN~1\iexplore.exe" -nohome
(Predeterminado)      "C:\Windows\System\Phybre.vbs"

9. Pinche sobre la SEGUNDA entrada (la que hace referencia a C:\Windows\System\Phybre.vbs), y pulse la tecla SUPR o DEL, confirmando que desea borrar la entrada.

IMPORTANTE: No borre la clave por defecto que aparece al comienzo (Predeterminado) que apunta a su navegador (en el ejemplo se muestra el Internet Explorer).

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy