Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Saltlake. Protesta sobre los juegos de invierno
 
VSantivirus No. 600 - Año 6 - Miércoles 27 de febrero de 2002

VBS/Saltlake. Protesta sobre los juegos de invierno
http://www.vsantivirus.com/saltlake.htm

Nombre: VBS/Saltlake
Tipo: Gusano de Visual Basic Script
Alias: I-Worm.Lee-Saltlake
Fecha: 26/feb/02
Fuente: Kaspersky

Este gusano puede propagarse a través del correo electrónico y de los canales de IRC.

Llega a nuestro buzón en un mensaje con un archivo .VBS (Visual Basic Script) adjunto al mismo, y cuyo tema hace referencia a los recientes juegos de invierno en Salt Lake (USA), y aparenta ser una protesta por la descalificación de un competidor coreano.

Asunto: 
You get off the ice and respect the referees decision

Texto:
Do you agree with the judge''s decision to 
disqualify a Korean skater and award Apolo 
Ohno the gold medal Wednesday night?

Datos adjuntos: SALTLAKE.jpg.vbs

El gusano utiliza el truco de la doble extensión (.JPG.VBS), por lo que en una configuración por defecto, solo será visible la primera en este caso (.JPG):

Si el usuario hace doble clic sobre el adjunto, creyendo es una imagen, el gusano se copia a la carpeta Windows\System con el nombre de SALTLAKE.jpg.vbs:

C:\Windows\System\SALTLAKE.jpg.vbs

Luego modifica el registro de Windows, para autoejecutarse en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
= C:\Windows\System\SALTLAKE.jpg.vbs

Busca el directorio del mIRC, y si lo encuentra, copia allí su propio archivo de control, SCRIPT.INI, el cuál contiene los comandos para enviarse a cada computadora que se conecte a los mismos canales de IRC que la máquina infectada.

Después de crear el archivo SCRIPT.INI, agrega una entrada en el registro, que sirve como marca para no volver a escribir el archivo SCRIPT.INI.

El gusano está creado con la misma herramienta usada para programar el Kournikova y otros, por lo que suele ser identificado como una variante del VBS Worms Generator por la mayoría de los antivirus.

Limpieza de un sistema infectado

1. Para limpiar un sistema infectado, ejecute uno o dos antivirus actualizados, y borre los archivos que aparezcan infectados por el gusano VBS/Saltlake, I-Worm.Lee-Saltlake, etc. (generalmente este archivo es C:\Windows\System\SALTLAKE.jpg.vbs).

2. Borre de la base de mensajes, todos aquellos similares al descripto antes.

3. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

5. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que contenga "C:\Windows\System\SALTLAKE.jpg.vbs" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Notas

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

Información complementaria

Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:

  • En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
  • En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
  • En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS