|
VSantivirus No. 220 - Año 5 - Martes 13 de febrero de 2001
Nombre: VBS/Valentin@MM
Tipo: Gusano de Visual Basic Script
Fecha: 11/feb/01
Origen: España
Este virus probablemente está creado por el mismo autor o grupo responsable del virus
VBS/San@M.
También utiliza código de Visual Basic Script, incluido en un formato HTML. El código está parcialmente encriptado.
Son visibles parcialmente, los siguientes comentarios:
Que cosa mas tonta.
loveday14 by Onel2 Melilla, España
feliz san valentin davinia
El virus utiliza también la vulnerabilidad llamada
"Scriptlet.TypeLib", que permite una infección aún al visualizar un mensaje infectado en el panel de vista previa del Outlook.
Si la computadora infectada tiene el sistema en español, el crea un archivo llamado
loveday14-b.hta en la carpeta de Inicio de Windows:
c:\WINDOWS\Menú Inicio\Programas\Inicio\loveday14-b.hta
Si el lenguaje es otro, genera el archivo en esta ubicación:
c:\WINDOWS\Start Menu\Programs\Startup\loveday14-b.hta
El archivo .HTA se ejecutará en el próximo reinicio de Windows.
El virus creará también un archivo llamado main.html.
Este virus intentará enviarse a si mismo, en masa, a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.
Además de esconderse en el código HTML del mensaje enviado, el gusano cambiará la etiqueta "Style" para que la fuente tenga el mismo color que el fondo (blanco únicamente).
El asunto del mensaje enviado estará vacío, para dificultar la tarea de ser filtrado en algunos servidores o por algunos antivirus.
Una de su rutinas es capaz de enviar mensajes a números generados al azar de direcciones pertenecientes a teléfonos móviles, de un proveedor español. En estos casos la línea "Asunto" es puesta como
"Feliz san valentin", con el siguiente texto:
"Feliz san valentin. Por favor visita [y aquí va el link a un sitio en español infectado por el autor del
virus]".
Si el usuario utiliza IRC (Internet Relay Chat), el gusano modifica el archivo script.ini para hacer que el archivo "main.html" sea enviado a otros usuarios de IRC en el mismo canal.
Si el día actual es 8, 14, 23 o 29, además de hacer que el Internet Explorer se abra en el mencionado sitio (como el virus
VBS/San@M), el gusano crea un archivo de texto con
este contenido:
Hola, me llamo Onel2 y voy a utilizar tus archivos para declararle mi
amor
a Davinia, la chica mas guapa del mundo.
Feliz san Valentin Davinia. Eres la mas bonita y la mas
simpatica.
Todos los dias a todas horas pienso en ti y cada segundo que no te
veo
es un infierno.
Quieres salir conmigo?
En cuanto a ti usuario, debo decirte que tus ficheros
no han sido contaminados por un virus,
sino sacralizados por el amor que siento por Davinia.
La infección se produce cuando el usuario recibe un mensaje de correo infectado, y en algunos casos simplemente al ver el mensaje (con formato HTML) en la vista previa.
Para evitar esto, se recomienda bajar e instalar el parche de Microsoft para la vulnerabilidad "Scriplet.typelib/Eyedog" de esta dirección:
http://www.microsoft.com/TechNet/IE/tools/scrpteye.asp
Para remover este virus de su sistema, deberá proceder con estos pasos:
1. Cierre el Outlook, o cualquier cliente de correo que esté usando.
2. Baje e instale el parche mencionado, si no lo ha hecho antes.
3. Borre los archivos loveday14-b.hta y main.html si este fue creado por el virus.
4. Borre la firma (archivo) del Outlook, desde Herramientas, Opciones, Firmas.
5. Quite la vista previa del Outlook (Herramienta, Ver, Diseño, Mostrar panel de vista previa)
6. Borre los mensajes recibidos que puedan estar infectados, sin abrirlos (botón derecho, eliminar).
7. Quite el Windows Scripting Host (WSH). Esta característica puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus como el BubbleBoy y el LoveLetter, virus que no podrán ejecutarse sin el WSH. Para desactivarlo, vaya al Panel de Control (Mi PC, Panel de Control), Agregar o quitar programas, Instalación de Windows, Accesorios, pinche en Detalles, y desmarque "Windows Scripting Host". Reinicie su PC. Si usa Windows Me, utilice otras opciones, como el
NOSCRIPT.EXE de Symantec.
8. Deshabilite el Active Scripting. Para ello, abra el Internet Explorer, seleccione Herramientas, Opciones de Internet, Seguridad.
Pinche en Sitios restringidos, y luego en "Personalizar nivel".
Luego, busque la rama "Automatización", y marque la casilla "Desactivar" en estas tres opciones:
"Automatización de los subprogramas de Java"
"Permitir operaciones de pegado por medio de una secuencia de comandos"
"Secuencias de comandos ActiveX"
Pinche en ACEPTAR y confirme los cambios
Luego abra el Outlook Express, y vaya a Herramientas, Opciones
Seleccione la lengüeta "Seguridad"
Pinche en "Zonas de seguridad", y luego pinche en "Zonas de sitios restringidos (más segura)".
Pinche en ACEPTAR y confirme los cambios
Nota: Debe tener en cuenta que al hacer estos cambios, tal vez algunas páginas y mensajes con formato no serán visualizados correctamente.
Fuente: Network Associates
Ver también:
13/feb/01 - VBS/San@M. Destructivo gusano en español
12/feb/01 - San Valentín y los virus. Consejos para todo el año
|
|