Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS.Postcard@mm. Gusano, caballo de Troya, polimórfico
 
VSantivirus No. 248 - Año 5 - Martes 13 de marzo de 2001

Nombre: VBS.Postcard@mm
Tipo: Gusano de Visual Basic Script, Caballo de Troya
Fecha: 8/mar/01

Se trata de un virus polimórfico, escrito en Visual Basic Script (VBS), que se presenta incluido en una página HTML, o como archivo VBS.

Es capaz de enviarse a todos los contactos de la libreta de direcciones del Outlook, además de infectar todos los archivos .HTML, .HTM, .SHTML o .ASP de las carpetas \Windows, Windows\System y \Temp.

También se propaga a todas las unidades mapeadas de una red, modifica el nivel de seguridad del IE, y cambia su página de inicio por una infectada. Además abre el WordPad e ingresa un texto al documento abierto, y es capaz de bloquear el teclado y el mouse.

Si la seguridad del Internet Explorer está configurada correctamente, cada vez que se accede a una página HTML infectada, el navegador avisa que cierto código en la página puede ser inseguro, con la recomendación de no ejecutarlo.

Si usted sigue esa recomendación, el virus despliega el siguiente mensaje:

To see a postcard you must apply the ActiveX format

Luego, retorna el control al Internet Explorer, quien muestra nuevamente el mensaje de advertencia.

Este bucle sin fin continúa hasta que se permite la ejecución del código (por supuesto, jamás apruebe la ejecución de algún código bajo estas circunstancias).

La única manera limpia de salir del bucle, es pulsar CTRL+ALT+SUPR, marcar la página culpable, asignada al Internet Explorer, y pinchar en "Finalizar tarea".

Si permitimos la ejecución del script, el gusano hará lo siguiente:

Primero, modifica la configuración de seguridad del Internet Explorer. En Herramientas, Opciones de Internet, Seguridad, Intranet Local, Personalizar nivel, bajo "Controles y complementos de ActiveX", marca como "Activar" la opción "Inicializar y activar la secuencia de comandos de los controles de ActiveX no marcados como seguros" (la misma debe estar marcada como "Desactivar").

Esto hace que se ejecute cualquier script contenido en una página HTML guardada localmente, sin solicitar el permiso respectivo.

El virus se copia a si mismo a los siguientes archivos:

C:\WINDOWS\2001.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

C:\WINDOWS\SYSTEM\dragonball.GT(dan kokoro hikareteku).{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

C:\WINDOWS\TEMP\millenium.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

Esta última copia es puesta como la página de inicio de Internet.

C:\WINDOWS\TEMP\x.xxxxxxxpost-card.tif.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

Donde las x.xxxxxxxx representan un número al azar, ej. 0.6786267. Este es usado como archivo adjunto para enviarse vía e-mail.

La extensión {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} es el identificador de clases (CLSID, class identifier) para los archivos del tipo MTHML (MIME Encapsulation of Aggregate HTML Documents). Los archivos por lo tanto, son mostrados sin extensión.

Luego, el script libera y ejecuta el archivo C:\WINDOWS\[db.GT].wsf, que es el código VBS del gusano que se propaga vía e-mail.

Cuando este script se ejecuta, el mismo agrega el archivo infectado a cada uno de los nuevos mensajes que serán enviados a todos los contactos de la libreta de direcciones del Outlook.

El asunto de este mensaje, puede ser uno de los siguientes:

  • Happy new Millenium (read the postcard [archivo adjunto])
  • Postcard for you is waiting [archivo adjunto]
  • Happy 2001 (for more action check attached file)
  • Stroke of luck? in 2001? (happy 2001 -read attachment)
  • Goodies
  • You have got a postcard [archivo adjunto]
  • Someone sent you a postcard [archivo adjunto]

El cuerpo del mensaje se encuentra en formato HTML, e incluye el siguiente texto:

HaPPy NeW Millenium
Happy new year
Best wishes from:
your dear ...

El gusano cambia además, los siguientes valores del registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion
RegisteredOwner = Lord YuP - [C]apsule [C]orp

HKLM\Software\Microsoft\Windows\CurrentVersion
RegisteredOrganization = DragonBall GT

Luego, infecta todos los archivos con las extensiones: .HTML, .HTM, .SHMTL, o .ASP, que se encuentren en las carpetas C:\WINDOWS, C:\WINDOWS\SYSTEM, o C:\TEMP.

También intenta replicarse a la carpeta \TEMP de todas las unidades mapeadas de red:

X:\WINDOWS\TEMP\docs.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

Donde "X" debe ser la letra de la unidad de red a infectar.

Luego, el script libera y ejecuta el siguiente VBScript:

C:\WINDOWS\payl0ad.vbe

Si el día de la semana es lunes, son las 4:32, 4:37, o 4:38 (A.M. o P.M.); o si es martes, 2:40 a 2:45 P.M., o 4:40 a 4:45 A.M., el archivo Payl0ad.vbe es ejecutado. Esto abrirá el WordPad e ingresará automáticamente el siguiente texto:

DB FaMiLy sTrIkEz oNe MoRe Time wiTh:
DB.GT today we infected you but tommorow we will infect 
rest of the ANIME WORLD.
YuP [C]apsule[C]orp

También intenta deshabilitar el teclado y el mouse.

Para remover manualmente el gusano, borre todos los archivos detectados como "VBS.Postcard" por uno o dos antivirus actualizado.

Luego ejecute el editor del registro (Inicio, Ejecutar, teclee REGEDIT y pulse Enter).

Busque la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion

En la ventana de la derecha, localice y haga doble clic sobre los siguientes valores (uno por vez):

RegisteredOwner
RegisteredOrganization

Modifique los datos puestos por el virus, por el de la persona a quien está registrado Windows (RegisteredOwner), y por el de la organización a que pertenece (RegisteredOrganization), o déjelo en blanco.

Cierre el editor del registro y reinicie el PC.

Abra el Internet Explorer. En Herramientas, Opciones de Internet, Seguridad, Intranet Local, Personalizar nivel, bajo "Controles y complementos de ActiveX", marque como "Desactivar" la opción "Inicializar y activar la secuencia de comandos de los controles de ActiveX no marcados como seguros".

Fuente: Symantec

 

Copyright 1996-2001 Video Soft BBS