|
VSantivirus No. 495 - Año 6 - Jueves 15 de noviembre de 2001
VSantivirus No. 927 - Año 7 - Lunes 20 de enero de 2003
VBS/Pila.A (Rols). Mensaje en portugués y extensión .SHS
http://www.vsantivirus.com/pila-a.htm
Nombre: VBS/Pila.A (Rols)
Tipo: Gusano de Visual Basic Script
Alias: VBS_PILA.A, I-Worm.Pila, Pilantra.i-worm, Pilantra, VBS.Pila@mm, VBS.Pilantra, VBS/Rols.dr@mm, VBS/Pulga.A@mm, VBS.Karmahotel, VBS/Estufa.Worm, IRC/Pila
Fecha: 23/oct/01
Tamaño: 28,597 Bytes
Actualizado: 20/ene/03
Visto por primera vez en octubre de 2001, ha sido detectado recientemente en algunos sitios pornográficos, desde cuyas páginas puede llegar a ejecutarse, al ser visualizadas estas en el navegador, razón por la cuál actualizamos su descripción.
Este gusano puede propagar copias de si mismo a través del correo electrónico usando el Outlook, vía IRC (Internet Relay Chat) usando el mIRC, y también a través de redes locales.
El mensaje infectado posee un adjunto con doble extensión, que simula ser un .TXT (archivo de texto), cuando en realidad es un
.SHS, siendo algo similar a lo que hace el VBS/Stages
(Life_Stages).
Los archivos .SHS (Microsoft Scrap Object file), son en definitiva ejecutables que pueden contener una gran variedad de objetos (objetos empaquetados). El mayor problema en este caso, es que al utilizarse el ya clásico truco de la doble extensión para ocultarse, aún con la opción "Ver todos los archivos" activa, la verdadera extensión .SHS permanece oculta. Sin embargo, con el botón derecho, propiedades, se visualiza su verdadero nombre.
Para dificultar incluso esto último, la segunda extensión del archivo, está incluida después de una serie de espacios
entre .TXT y .SHS:
PLATÔNICO.TXT
.SHS
Entre ambas extensiones existen 76 espacios vacíos. La intención es hacer parecer al gusano como un archivo de texto (Platônico.txt). Tenga en cuenta que aún visualizando las verdaderas extensiones, deberá ampliar el ancho visualizado de la columna para ver la segunda extensión.
Cuando este archivo se ejecuta (doble clic), el mismo invoca al bloc de notas, el cuál se abre conteniendo un texto en portugués que simula ser de sexo explícito, cuando se trata de un chiste.
El gusano también instala un troyano de IRC de acceso remoto, del tipo Backdoor
(IRC/Pila.A)
El gusano también examina la presencia de un archivo
C:\File0004.CHK. Si no lo encuentra, entonces crea el archivo
PLATÔNICO.TXT y entonces abre el bloc de notas para desplegar el siguiente contenido:
Satânico é o meu pensamento ao teu respeito e ardente é o meu desejo de apertar-te em minhas mãos, uma sede de vingança incontestável pelo que me fizeste ontem.A noite quente e calma chegara a ser angustiosa. Apareceste e nesta cama aconteceu... Sorrateiramente te aproximaste... Sem o mínimo pudor... Encostaste o teu corpo sem roupa no meu corpo nú. Percebendo a minha aparente indiferença, aconchegaste-te a mim, e mordeste-mesem escrúpulos até os mais íntimos lugares jamais tocados de meu casto corpo. E adormeci... Hoje, quando acordei, procurei-te numa ânsia ardente, mas em vão...Deixaste provas irrefutíveis do que ocorreu na noite que passou. Grandes manchas no meu corpo e o alvo lençol salpicado de sangue. Esta noite recolho-me mais cedo para, na mesma cama te esperar. Oh! Quando chegares, nem quero pensar com que perspicácia, avidez e força eu quero te pegar para que não escapes mais de mim. Em minhas mãos quero apertar-te até o fim. Não haverá parte do teu corpo que os meus dedos não passarão. Não descansarei enquanto ver sair o sangue quente de teu corpo.
Só assim livrar-me-ei de ti PULGA MALDITA.
Luego, copia su código en el archivo EXPLORER.DLL.VBS en el directorio de Windows:
C:\Windows\EXPLORER.DLL.VBS
Luego modifica la entrada SHELL en el archivo
SYSTEM.INI bajo la sección [boot]:
[boot]
shell=explorer.exe explorer.dll.vbs
Esto hace que EXPLORER.DLL.VBS (el propio gusano), se ejecute en cada reinicio de Windows.
También crea otra copia de su código en el directorio de Windows, en el siguiente archivo:
C:\Windows\PLATÔNICO.TXT
.SHS
El gusano genera el mensaje a propagar con uno de los siguientes Asuntos:
Texto imperdível!
Texto muito engraçado!
O melhor texto que li nos últimos tempos...
Cuerpo del mensaje:
................................................
Olá!!
Não posso falar muito sobre o texto porque se não perde a
graça, é uma história de amor platônico... Achei muito
engraçado vale a pena!!
.... .... . ..... ..... .... . ... .....
..... .... .... . . .... ..... ....
Archivo adjunto: Platônico.txt .shs
Luego se envía a todas las direcciones de la libreta del Outlook, borrándose los mensajes enviados de la carpeta "Elementos enviados"
Luego crea un archivo llamado File004.CHK en el raiz de la unidad
C:\, como marca de la infección del sistema.
El archivo (que simula ser generado por la utilidad Scandisk al reparar un disco duro), contiene en realidad el siguiente texto:
"Estufa co." inside.
El gusano examina el sistema en busca de unidades de disco duro en la máquina local, de unidades compartidas en red, y de unidades removibles existentes.
En estas unidades se copia a si mismo con el nombre de:
PULGA.TXT.SHS
Busca examina la presencia del cliente de chat mIRC, buscando el archivo
MIRC.INI.
Si encuentra este archivo, procede a modificarlo de la siguiente manera:
[rfiles]
n%X%=addonGUI.dll
[fileserver]
warning=off
[warn]
fserve=off
[Perform]
n%X%=/Remote ON
%X% es una variable que hace referencia a un número.
MIRC.INI es el archivo de configuración del mIRC, y mientras lo modifica, el virus crea el archivo temporal:
WINAMOD.DAT
También libera el archivo ADDONGUI.DLL (un troyano detectado como
IRC/Pila.A), que en realidad es un script de mIRC, que permite acceder por la puerta trasera (backdoor).
También crea los archivos FILE0001.CHK.VBS y FILE0002.CHK.VBS en el raíz de la unidad
c:\.
El contenido de estos dos archivos es un script de Visual Basic con comandos para listar los archivos o directorios de las unidades especificadas, y escribir este contenido en los siguientes archivos:
FILE0001.TXT
FILE0002.TXT
El código del gusano contiene el siguiente texto:
Pilantra.i-worm Pilantra virus "Penso logo existo, se
existo, logo sou" 'By:Lucky Germany. It´s a great Idea..!
IRC/Pila.A
Nombre: IRC/Pila.A
Tipo: Caballo de Troya
Alias: IRC_PILA.A, Pilantra, Pilantra.i-worm, I-Worm.Pila
Tamaño: 3,405 Bytes
Este script de IRC con características de Backdoor, es liberado por el
VBS/Pila.A en una máquina infectada. Esto permite a un atacante remoto, un acceso limitado a la computadora infectada.
Este script de mIRC, configura a este programa de chat para funcionar clandestinamente en segundo plano, como un backdoor (puerta trasera), que permite un limitado acceso al sistema infectado por parte de un atacante, siendo algunas de estas posibles acciones:
- Tomar una lista de directorio y archivos
- Leer el contenido de los archivos
- Recibir notificaciones del canal de IRC desde sistemas
comprometidos.
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH, recomendamos el siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Para limpiar manualmente un sistema infectado
1. Pinche en Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
3. Busque la siguiente línea:
shell=Explorer.exe explorer.dll.vbs
4. Modifíquela para que quede así:
shell=Explorer.exe
5. Salga del bloc de notas y cuando se le pregunte, seleccione guardar los cambios en
SYSTEM.INI
6. Busque y borre desde el explorador de Windows los siguientes archivos:
C:\File0004.CHK
C:\File0001.txt
C:\File0002.txt
C:\winamod.dat
7. Pinche en Inicio, Ejecutar, teclee MIRC.INI y pulse Enter.
8. Busque las siguientes líneas (%X% representa un número):
[rfiles]
n%X%=addonGUI.dll
9. Borre la línea: n%X%=addonGUI.dll
10. Busque lo siguiente:
[fileserver]
warning=off
11. Borre la línea warning=off
12. Busque lo siguiente:
[warn]
fserve=off
13. Borre la línea fserve=off
14. Busque lo siguiente:
[Perform]
n%X%=/Remote ON
15. Borre la línea n%X%=/Remote ON
16. Salga del bloc de notas y cuando se le pregunte, seleccione guardar los cambios en MIRC.INI.
17. Examine su sistema con dos o más antivirus actualizados y borre los archivos detectados como
Pila.A, VBS_PILA.A, IRC_PILA.A, I-Worm.Pila, Pilantra.i-worm o Pilantra virus.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo".
6. Pinche en "Aplicar" y en "Aceptar".
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|