Asunto: I hate you
Texto: i think that you must see this file ,i insist.
Archivo adjunto: help.vbs (3,499 bytes)

La infección se produce al abrir el archivo adjunto (doble clic). En ese momento, el virus se copia a la carpeta \Windows\System con el nombre de Kernel.vbs, y a la carpeta \Windows como Help.vbs:

C:\Windows\System\Kernel.vbs
C:\Windows\Help.vbs

Luego de ello, por cada unidad de disco, incluidas las unidades en red, el virus intentará infectar archivos con las extensiones .VBS y .VBE.

El gusano también busca archivos con las extensiones .MP3, .PWD, .EXE, .MP2, .DOC, .AVI, .MPEG, y .HTM, y las sobreescribe con su propio código, perdiéndose el contenido original de estos archivos.

De este modo, al ejecutar alguno de estos archivos, es el gusano el que se vuelve a ejecutar.

El virus utiliza rutinas que interceptan las llamadas MAPI al Microsoft Outlook, y crea mensajes que envía a todos los contactos de la libreta de direcciones.

El gusano utiliza el registro para controlar que los mensajes enviados no se repitan, enviándose solo uno a cada dirección. Los mensajes enviados son idénticos al recibido anteriormente.

Luego crea la carpeta "C:\Windows\Look Here", conteniendo en su interior un archivo de texto con esta información:

Hello!It so pity that i cant look at your face now,and do you know why ,because your machine was infected by Lynx[RAtm].Worm.Regards from Od.

El gusano busca el archivo "Logos.sys" y lo borra si lo encuentra. Este archivo contiene la pantalla "Ahora puede apagar el equipo".

Luego, intenta borrar una carpeta de nombre "C:\Windows\Ðàáî÷èé ñòîë"

También modifica el archivo "C:\Autoexec.bat" con las instrucciones para formatear el disco duro la próxima vez que la computadora se reinicie.

Así mismo, modifica el archivo "C:\Windows\Win.ini" con la siguiente línea:

[windows]
run=C:\Windows\help.vbs

Y finalmente agrega esta entrada al registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
help = C:\WINDOWS\help.vbs

Ambas modificaciones, aseguran la ejecución del virus en el próximo reinicio de Windows.

Cuando el gusano es ejecutado, muestra el siguiente mensaje:

Read Youmustread.txt file:-)

Para remover el virus, debe eliminar los cambios hechos al archivo AUTOEXEC.BAT y WIN.INI, y al registro de Windows, además de borrar los archivos infectados y el propio virus.

Los archivos infectados, no podrán desinfectarse, ya que han sido suplantados por el gusano. La única forma de recuperarlos es a través de un respaldo, o de la reinstalación de los mismos. Archivos como LOGOS.SYS y otros vitales de Windows, deberán restaurarse con una reinstalación de Windows.

Es MUY IMPORTANTE que no reinicie la computadora hasta limpiar el archivo AUTOEXEC.BAT, pues de lo contrario se produciría el formateo de la unidad C:, al bootear la computadora.

Para editar el archivo AUTOEXEC.BAT y WIN.INI

1. Pinche en Inicio, Ejecutar.
2. Escriba SYSEDIT y pulse Enter
3. Seleccione la ventana AUOEXEC.BAT
4. Busque y borre las siguientes líneas:

@cls
@Please wait it can take only few minuts
@format C:

5. Seleccione Archivo, Guardar
6. Pinche sobre la ventana C:\WINDOWS\WIN.INI
7. Cambie estas instrucciones:

[windows]
run=C:\Windows\help.vbs

por estas:

[windows]
run=

8. Seleccione Archivo, Guardar
9. Cierre la ventana del "Editor de configuración del sistema"
10. Ejecute un antivirus al día, para borrar los archivos del virus
11. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
12. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
RunServices

13. Pinche sobre la carpeta "RunServices". En el panel de la derecha debería ver algo como:

"help" "C:\WINDOWS\help.vbs"

14. Pinche sobre el nombre "help" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
15. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
16. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

En forma opcional, puede borrar la carpeta "C:\Windows\Look Here" desde el Explorador de Windows.

Nota: Si bien el comando FORMAT C: pide confirmación del usuario para formatear, el riesgo puede ser grande para usuarios inexpertos.

Usuarios de Windows Me

Debido a que Windows Me no utiliza el archivo AUTOEXEC.BAT de la misma manera que otros Windows anteriores, este procedimiento no se ejecutará correctamente. Tampoco la utilidad SYSEDIT del punto 2 se ejecutará. Para modificar el archivo WIN.INI, deberá escribir WIN.INI en Inicio, Ejecutar, y pulsar Enter, grabando los cambios mencionados en el punto 7 antes de salir del bloc de notas.

Para limpiar el sistema en Windows Me, luego de los pasos anteriores que correspondan (puntos 1 a 16), deberá deshabilitar la herramienta "Restaurar sistema" como se indica a continuación, y luego correr un antivirus en "Modo a prueba de fallos", iniciando la PC con la tecla CTRL pulsada hasta que aparezca la pantalla para seleccionar esta opción.

Cómo deshabilitar la herramienta "Restaurar sistema" en Windows Me

1. Pulse con el botón derecho sobre el icono Mi PC del escritorio
2. Pinche en la lengüeta "Rendimiento"
3. Pinche sobre el botón "Sistema de archivos" en "Configuración avanzada"
4. Seleccione la lengüeta "Solución de problemas"
5. Marque la casilla "Deshabilitar Restaurar sistema"
6. Pinche en el botón "Aplicar"
7. Pinche en el botón "Cerrar" de Propiedades de Sistema de archivos
8. Pinche en el botón "Cerrar" de Propiedades de Sistema
9. Cuando se le pregunte si desea reiniciar el sistema conteste que SI

De este modo la utilidad "Restaurar sistema" quedará deshabilitada

Luego reinicie la computadora en "Modo a prueba de fallos" (pulse F8 o mantenga CTRL pulsada al reiniciar la computadora), y ejecute un antivirus al día para borrar los archivos infectados.

Para volver a habilitar la herramienta "Restaurar sistema", reitere los pasos anteriores, desmarcando la casilla "Deshabilitar Restaurar sistema" en el punto 5.

Fuente: Symantec


Vea también:
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS