|
VSantivirus No. 600 - Año 6 - Miércoles 27 de febrero de 2002
VBS/Saltlake. Protesta sobre los juegos de invierno
http://www.vsantivirus.com/saltlake.htm
Nombre: VBS/Saltlake
Tipo: Gusano de Visual Basic Script
Alias: I-Worm.Lee-Saltlake
Fecha: 26/feb/02
Fuente: Kaspersky
Este gusano puede propagarse a través del correo electrónico y de los canales de IRC.
Llega a nuestro buzón en un mensaje con un archivo .VBS (Visual Basic Script) adjunto al mismo, y cuyo tema hace referencia a los recientes juegos de invierno en Salt Lake (USA), y aparenta ser una protesta por la descalificación de un competidor coreano.
Asunto:
You get off the ice and respect the referees decision
Texto:
Do you agree with the judge''s decision to
disqualify a Korean skater and award Apolo
Ohno the gold medal Wednesday night?
Datos adjuntos: SALTLAKE.jpg.vbs
El gusano utiliza el truco de la doble extensión (.JPG.VBS), por lo que en una configuración por defecto, solo será visible la primera en este caso (.JPG):
Si el usuario hace doble clic sobre el adjunto, creyendo es una imagen, el gusano se copia a la carpeta
Windows\System con el nombre de SALTLAKE.jpg.vbs:
C:\Windows\System\SALTLAKE.jpg.vbs
Luego modifica el registro de Windows, para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
= C:\Windows\System\SALTLAKE.jpg.vbs
Busca el directorio del mIRC, y si lo encuentra, copia allí su propio archivo de control,
SCRIPT.INI, el cuál contiene los comandos para enviarse a cada computadora que se conecte a los mismos canales de IRC que la máquina infectada.
Después de crear el archivo SCRIPT.INI, agrega una entrada en el registro, que sirve como marca para no volver a escribir el archivo SCRIPT.INI.
El gusano está creado con la misma herramienta usada para programar el Kournikova y otros, por lo que suele ser identificado como una variante del VBS Worms Generator por la mayoría de los antivirus.
Limpieza de un sistema infectado
1. Para limpiar un sistema infectado, ejecute uno o dos antivirus actualizados, y borre los archivos que aparezcan infectados por el gusano
VBS/Saltlake, I-Worm.Lee-Saltlake, etc. (generalmente este archivo es
C:\Windows\System\SALTLAKE.jpg.vbs).
2. Borre de la base de mensajes, todos aquellos similares al descripto antes.
3. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
5. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que contenga
"C:\Windows\System\SALTLAKE.jpg.vbs" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Notas
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Información complementaria
Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:
- En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
- En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
- En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.
Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|