Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Vbswg.AC@mm. Creación "casi" similar al Kournikova
 
VSantivirus No. 328 - Año 5 - Viernes 1o de junio de 2001

Nombre: VBS/Vbswg.AC@mm
Tipo: Gusano de Visual Basic Script
Alias: VBS/Antistatic, VBS/VBSWG-AC, VBS/VBSWG.AC
Fecha: 31/may/01
Tamaño: 2.657 bytes

Es una variante muy similar al Kournikova (ver VSantivirus No. 220 - Año 5 - Martes 13 de febrero de 2001, VBS/SST-A), cuya propagación ha sido bastante importante.

Es por eso, que aunque se supone todos los antivirus deberían reconocerlo, no debemos olvidar que lo mismo se decía de aquél, y a pesar de ello, infectó en pocas horas cientos de computadoras. Su código encriptado, sigue engañando a muchos antivirus, a pesar de tener una construcción "muy similar".

Por ejemplo, utiliza un mensaje idéntico al del Kournikova, aunque difiere el archivo adjunto al mismo:

Asunto: Here you have, ;o)
Texto: Hi:Check This!
Archivo adjunto: ALERT.VBS

El adjunto, directamente un archivo con extensión .VBS (Visual Basic Script), se activa al pinchar sobre él.

Cuando el usuario hace esto, el gusano examina el registro en busca de una clave que le indica si ya ha sido enviado desde esa máquina o no. Si no lo ha sido, intentará mandar un mensaje infectado (similar al recibido), a todos los contactos de la libreta de direcciones de la PC infectada. El gusano solo funciona si el usuario tiene instalado el Outlook u Outlook Express, y si está activo el Windows Scripting Host (1).

Como el Kournikova, el virus ha sido creado con la herramienta conocida como VBSWG (VBS Worm Generator) o generador de gusanos en Visual Basic Script, y con la misma versión, la 1.50b (existe otra más reciente, la 2.0).

Su código, en Visual Basic Script, está encriptado. Si lo editamos, sólo es visible (o entendible) la función usada para la desencriptación. Dicha función examina todos los caracteres del código encriptado, y les resta o suma un valor fijo, para convertirlos, tratando de forma especial algunos caracteres.

Luego de la desencriptación, se ejecuta el código del gusano, el cuál dispone de un control básico de errores.

Primero, se copia en la carpeta Windows\System:

C:\WINDOWS\System\ALERT.VBS

Luego, crea las siguientes entradas en el registro:

HKCU\Software\Antistatic
"Worm made with Vbswg 1.50b"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
virusalert = "wscript.exe C:\WINDOWS\System\ALERT.VBS"

La anterior, hará que el gusano se ejecute en el próximo reinicio de Windows.

También crea esta clave:

HKCU\Software\Antistatic
mailed =

El valor para esta entrada será puesto a "1" después del envío masivo del mensaje infectado a todos los contactos de la libreta de direcciones de la víctima, quedando dicha entrada de esta forma:

HKCU\Software\Antistatic
mailed = 1

Cuando el gusano se vuelva a ejecutar, examinará dicha entrada, y si existe, no se volverá a propagar.

En su código (no visible), puede encontrarse este comentario:

Worm made with Vbswg 1.50b

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados (si existe, borre el archivo ALERT.VBS de C:\WINDOWS\System\).

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: 

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

virusalert        "wscript.exe C:\WINDOWS\System\ALERT.VBS"

4. Pinche sobre el nombre "virusalert" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Las demás claves creadas por el gusano no es necesario eliminarlas. Si lo desea hacer, proceda de la misma forma anteriormente vista, borrando desde el REGEDIT la clave "Antistatic" de esta rama:

HKEY_CURRENT_USER\Software\


Información complementaria


Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:

  • En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
  • En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
  • En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Para aumentar nuestra protección al respecto, aconsejamos fuertemente se utilice algún programa que detecte todo archivo potencialmente peligroso, recibido por correo electrónico.

Sugerimos para ello, la nueva versión del ZoneAlarm (gratuito para su uso personal), que además de ser un excelente cortafuegos que protege nuestro PC de intrusos externos e internos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Zone Alarm puede ser bajado de nuestro sitio, si se dirige al área "
Otro software". También encontrará allí las instrucciones para instalarlo y configurarlo fácilmente.


Ver también:


VSantivirus No. 249 - 14/mar/01
¿Comienza una nueva era para los virus?
VBS.Vbswg2.gen. Nueva versión del generador de gusanos

VSantivirus No. 225 - 18/feb/01
Vbswg.gen. Generador de gusanos de Visual Basic Scripts

VSantivirus No. 222 - 15/feb/01
AnnaKournikova: ¿fracaso de la comunidad antivirus?

VSantivirus No. 220 - 13/feb/01
VBS/SST-A (Anna Kournikova). Nueva versión del LoveLetter


Glosario:


(1) Windows Scripting Host (WSH). Es un interprete de Java Script y de Visual Basic Script, que puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus en dichos lenguajes. Está instalado por defecto en Windows 98 y posteriores.


Fuentes: Panda Software, Alwil Software
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS