Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS.Vbswg.K. Variante del "Anna Kournikova"
 
VSantivirus No. 225 - Año 5 - Domingo 18 de febrero de 2001

Nombre: VBS.Vbswg.K
Tipo: Gusano de Visual Basic Script
Alias: VBS.Vbswg.gen, I-Worm.Lee.o, VBS/SST@MM
Tamaño: 7,396 bytes
Fecha: 16/feb/01

VBS.Vbswg.K es una nueva versión del virus VBS/SST-A, el identificado por la supuesta foto de la tenista Anna Kournikova.

Este virus, conocido como "Nuevas Tarifas" (Neue Tarife), es de origen alemán, y usa la misma construcción y técnicas de encriptación del "Kournikova". Por estar en alemán, es posible no se propague tanto como el anterior. Sin embargo, es una muestra que este tipo de virus es muy probable surjan como hongos en las próximas semanas, más teniendo en cuenta que pueden crearse con la ayuda de una utilidad, y sin tener ningún conocimiento de programación (ver en este mismo boletín: "Vbswg.gen. Generador de gusanos de Visual Basic Scripts").

Esta variante se propaga usando el Microsoft Outlook, o los programas de chat como el mIRC o el Pirch, y utiliza como adjunto el archivo "Neue Tarife.txt.vbs".

Este es el formato del mensaje:

Asunto: Neues von Ihrem Internetdienstleister - Robert 
T.Online informiert

Texto:
Sehr geehrter Internetsurfer,

es hat sich einiges bei uns getan. Die Telekom kann auch Ihre Internetkosten reduzieren. Wir haben auch für Sie den richtigen Tarif... Damit auch Sie sich entscheiden können, haben wir eine Übersicht aller für Sie relevanter Termine an diese eMail gehängt.
Wir sind Sicher, auch Sie werden Ihren Wunschtarif finden.

Bei fragen stehen wir Ihnen natürlich jederzeit zur Verfügung...

Ihr T-Online Service Team


Archivo adjunto: NEUE TARIFE.TXT.VBS (7,396 bytes)

Cuando se ejecuta por primera vez (doble clic sobre el adjunto recibido), el gusano se copia a si mismo a la dirección C:\WINDOWS FOLDER\NEUE TARIFE.TXT.VBS

El gusano permanece activo en memoria, y si es borrado (por un antivirus por ejemplo), activa una rutina para volverse a copiar automáticamente. Esta rutina tiene un error, y lo único que hace es crear un archivo de cero bytes.

Para ejecutarse en cada inicio del sistema, el virus crea esta rama en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
T-Online wscript.exe = C:\WINDOWS\Neue Tarife.txt.vbs

Cuando este gusano se propaga usando el Outlook, lo hace a todos los contactos de su libreta de direcciones.

Luego de enviarse una vez, el virus cambia el registro de Windows para que no vuelva a ejecutarse la rutina de envío masivo de mensajes.

Para ello, crea las siguientes claves en el registro:

HKEY_CURRENT_USER\Software\Mailed = 1
(si se envío a través del Outlook).

HKEY_CURRENT_USER\Software\Mirqued = 1
(si se envío a través del Mirc).

HKEY_CURRENT_USER\Software\Pirched = 1
(si se envío a través del Pirch).

Cuando se propaga a través del mIRC (el gusano busca en todas las unidades disponibles, la presencia del mIRC o del Pirch para realizar los cambios necesarios), modifica el archivo SCRIPT.INI, que es usado automáticamente por el programa, y se envía a otros usuarios de los canales de IRC.

Para propagarse usando el Pirch, el gusano modifica el archivo EVENTS.INI, el cuál es usado en forma automática por el Pirch, enviándose también a otros usuarios en los canales de chat visitados.

Aunque se haya enviado vía e-mail, si en el sistema tenemos instalado uno de los clientes de chat (mIRC o Pirch), también se propagará por uno de ellos (o por los dos si ambos están presentes).

Para eliminarlo, ejecute primero un antivirus al día.

Luego borre los archivos identificados como infectados.

También quite la siguiente entrada en el registro (usando REGEDIT desde la línea de comandos, busque esta clave: 

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
T-Online wscript.exe

Borre la clave "T-Online wscript.exe".

Fuente: Symantec y Panda Antivirus


Ver también:
18/feb/01 - Vbswg.gen. Generador de gusanos de Visual Basic Scripts
15/feb/01 - AnnaKournikova: ¿fracaso de la comunidad antivirus?
13/feb/01 - VBS/SST-A (Anna Kournikova). Nueva versión del LoveLetter
08/feb/01 - VBS.LoveLetter.CD (Cartolina). El ILOVEYOU ataca de nuevo

 

Copyright 1996-2001 Video Soft BBS