|
VSantivirus No. 909 - Año 7 - Jueves 2 de enero de 2003
VBS/Renalo (Lorena). Se propaga vía IRC, y programas P2P
http://www.vsantivirus.com/renalo2.htm
Nombre: VBS/Renalo (Lorena)
Tipo: Gusano de Visual Basic Script
Alias: VBS/Renalo@MM, I-Worm.Lorena
Fecha: 26/dic/02
Tamaño: 15,190 bytes
Este gusano, escrito en Visual Basic Script, requiere la presencia del Windows Scripting Host (WSH) para ejecutarse. Por defecto, WSH se encuentra instalado en Windows 98, Me y XP. Se propaga a través de utilidades Peer-To-Peer como KaZaa, eDonkey2000, Bearshare, Grokster, Morpheus, y también ICQ. También se propaga a través del IRC. Intenta propagarse vía correo electrónico, pero esto falla en ocasiones.
Cuando se ejecuta por primera vez, muestra una ventana con el siguiente mensaje:
I love you
I Love You Lorena!!!!!!!
[ Aceptar ]
El gusano envía mensajes a toda la libreta de direcciones de Windows. Los asuntos son seleccionados al azar de la siguiente lista:
Exciting Photos
Photos XXX
Re:
Sensual photos
El cuerpo del mensaje puede contener uno de estos textos:
check my exciting photos
hi check these super photos
look these exciting photos
Please check my photos in beach
Sensual photos single for you
El propio gusano se agrega como adjunto a estos mensajes. Esto no siempre tiene éxito.
El gusano crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System = C:\Windows\System\[nombre del gusano].jpeg.vbs
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Winft = C:\WinNT\[nombre del gusano].jpeg.vbs
En Windows 95 y 98, también modifica el AUTOEXEC.BAT para ejecutarse en el inicio.
El gusano crea o modifica la clave que permite compartir archivos con el programa KaZaa, y también cambia el papel tapiz del escritorio, por una versión en HTML de él mismo:
C:\Wallpaper.htm
También examina en las unidades de disco locales en busca de carpetas utilizadas por conocidas utilidades de intercambio de archivos, Peer-To-Peer (P2P), y se copia en ellas:
\KaZaA\My Shared Folder\
\ICQ\shared files\
\eDonkey2000\incoming\
\bearshare\shared\
\Grokster\My Grokster\
\Morpheus\My Shared Folder\
El nombre del archivo es seleccionado al azar de una lista de 73 nombres, todos con
doble extensión .JPG.VBS.
Si el mIRC, el cliente de IRC, está instalado en la computadora infectada, el gusano crea un archivo SCRIPT.INI con las instrucciones para enviarse él mismo a través de los canales de chat.
También busca los directorios de ciertos productos antivirus, y borra todos sus archivos.
El gusano se copia a si mismo en todas las subcarpetas de las unidades de disco locales, con el siguiente nombre:
\Lorena-te-amo.vbs
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Deshabilitar las carpetas compartidas en BearShare
1. Ejecute BearShare.
2. Seleccione "Options" del menú "Setup".
3. Seleccione la lengüeta "Sharing"
4. Seleccione todo lo que estuviera en la ventana bajo el título "Share the files in these directories and their sub-directories:" y pinche en "Remove"
5. Pinche en "Aceptar", etc.
Deshabilitar las carpetas compartidas en Grokster
1. Ejecute Grokster.
2. Seleccione "Tools" > "Find Media to Share" > "Folder List".
3. Pinche en el botón "DeSelect All".
4. Pinche en "Aceptar", etc.
Deshabilitar las carpetas compartidas en eDonkey2000
eDonkey2000 automáticamente comparte el contenido de cualquier carpeta que usted haya especificado para recibir los archivos. Por lo tanto no se puede restringir la posibilidad de compartir dicha carpeta. Se recomienda no utilizar este software en su computadora.
Deshabilitar las carpetas compartidas en Morpheus
1. Ejecute Morpheus.
2. Seleccione "Options" del menú "Edit".
3. Seleccione la opción "Traffic" de la lista de opciones.
4. En Limits, en la entrada "Maximum simultaneous uploads", borre el valor anterior (por ejemplo "5"), escriba "0" (cero), y pinche en OK.
5. Pinche en "Aceptar", etc.
Reparación manual
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre cualquiera de las siguientes entradas que aparezcan:
System
Winft
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Método para revisar Autoexec.bat
Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
* Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse OK.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat
3. Borre todas las líneas que referencia al gusano si ésta existiera:
4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.
Información adicional
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
En Windows XP, deberá deshabilitar la asociación de archivos a la extensión .VBS
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones: 2/ene/03
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|