Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Vanina (Solved). Borra archivos y se envía 1000 veces
 
VSantivirus No. 237 - Año 5 - Viernes 2 de marzo de 2001

Nombre: VBS/Vanina (Solved)
Tipo: Gusano de Visual Basic Script
Fecha: 22/feb/01
Alias: VBS/Solved
Origen: Argentina
Tamaño: 3,889 o 3,981 bytes

Es un virus escrito en Visual Basic Script (VBS), capaz de sobrescribir archivos de nuestra computadora, y de enviar 1000 mensajes a dos direcciones de e-mail de Argentina.

Cuando se ejecuta, se muestra primero una ventana de error, con el siguiente texto:

Windows cant not be open the file

Luego, se copia a si mismo a la carpeta C:\WINDOWS, con estas características:

NAV.exe                                          .vbs

Existen 74 espacios en blanco entre las terminaciones .EXE y la verdadera, .VBS.

Cuando ejecuta su rutina de envío por e-mail (utiliza el Outlook de Microsoft) se envía el siguiente mensaje a dos direcciones fijas de Argentina, un total de 1000 veces:

Asunto: Recordatorio
Texto:
 Pezzani,pedazo de inuti,todavia no solucionaste nada . La guerra continua sin cuartel.Toma la iniciativa Charly.

Archivo adjunto: C:\Windows\Explorer.exe

Después que la rutina anterior es terminada, el gusano se copia a si mismo en este lugar:

C:\Windows\NAV.exe                                          .vbs

(Recuerde que existen 74 espacios en blanco entre las terminaciones .EXE y .VBS.)

Finalmente el virus modifica el registro de Windows:

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page

Esto cambia la página de inicio de Internet

También se agrega el valor "Norton AntiVirus NAV.exe                  .vbs", a esta clave del registro, haciendo que el virus se ejecute en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

Además, se borran estos valores:

HKEY_CLASSES_ROOT\.xls
HKEY_CLASSES_ROOT\.doc
HKEY_CLASSES_ROOT\.mdb

Se modifica la configuración del Proxy, lo que causa errores en la conexión a Internet:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
*ProxyEnable = 0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
*ProxyServer = 0.0.0.0

El gusano, también busca por todas las carpetas, y en todas las unidades de disco disponibles, archivos (que intentará infectar), con las siguientes extensiones (los archivos infectados deben ser recuperados desde un respaldo, ya que es imposible curarlos):

.btr
.pst
.xls
.mdb
.jpg
.pab
.wab
.dbx

El virus realiza este chequeo constantemente, y cuando uno de estos archivos es borrado, genera uno con el mismo nombre, conteniendo el código viral.

Existe un error en el código, que hacen que el virus no se ejecute correctamente.

Para eliminarlo, ejecute un antivirus al día, y borre todos los archivos identificados con el virus.

Fuente: Network Associates, Symantec


Ver también:
 03/mar/01 - La "Venganza de las Telefónicas" provoca graves daños

 

Copyright 1996-2001 Video Soft BBS