Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Whitehome. Un regalo para el presidente de los EE.UU
 
VSantivirus No. 332 - Año 5 - Martes 5 de junio de 2001

Nombre: VBS/Whitehome
Tipo: Gusano de Visual Basic Script
Fecha: 4/jun/01

Panda Software reportó la existencia del gusano VBS/Whitehome. Escrito como tantos en lenguaje de script de Visual Basic (VBS), el mismo es capaz de enviarse a todas las direcciones de la libreta del Outlook. También lo hace a ciertas direcciones incluidas en su código. Además es capaz de borrar todo el contenido del disco C si se cumplen ciertas condiciones.

El virus puede llegar en un mensaje con o sin texto incluido. Si lo tuviera, podría ser alguno de los siguientes (o formado con algunos de las siguientes frases):

Thanks for helping me!

The police are investigating the robbery

an application for a job

The aspects of an application process pertinent to OSI

What a pleasant weather. Why not go out for a walk?

These countries have gone / been through too many wars

We've fixed on the 17th of April for the wedding

The wind failed and the sea returned to calmness.

the sitting is open!

El archivo adjunto al mensaje será README.HTML

Si el usuario abre este adjunto, el virus ejecutará su código, el cuál generará varias copias de sí mismo, con nombres seleccionados al azar en las carpetas de Windows y del Sistema (por defecto C:\WINDOWS y C:\WINDOWS\SYSTEM):

C:\Windows\PROFILE.VBS
C:\Windows\System\MDM.VBS
C:\Windows\System\USER.DLL
C:\Windows\System\README.HTML
C:\Windows\System\SYSTEM.DLL

Luego, examina si el nombre del usuario de la computadora infectada contiene alguno de estos textos:

white home
central intelligence agency
bush
american stock exchang
chief executive
usa

Si alguno coincide, entonces el gusano modificará el archivo C:\AUTOEXEC.BAT (en Windows 95 y 98), agregando la siguiente línea, que borrará todos los archivos y carpetas de la unidad C en el próximo reinicio de Windows:

DELTREE C:\

Para que se cumpla esta orden, el usuario deberá contestar afirmativamente la siguiente pregunta por cada directorio a borrar:

¿Desea eliminar el directorio "C:xxx" y todos sus subdirectorios? [sn]

Su rutina de propagación, envía el mensaje con las características antes mencionadas, a todos los contactos de la libreta de direcciones del Outlook, además de hacerlo a las siguientes direcciones:

president@whitehouse.gov
vice.president@whitehouse.gov
first.lady@whitehouse.gov
mrs.cheney@whitehouse.gov

Si además el día actual es 5 de julio, el gusano creará este archivo:

C:\Windows\System\75.HTM

Por otra parte, todos los archivos con extensión .HTM y .HTML serán sobrescritos con el propio código del virus.

También modificará las siguientes entradas en el registro, para poder ejecutarse en los próximos reinicios de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Mdm = c:\windows\system\Mdm.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Profice = c:\windows\system\Profile.vbs

Para eliminarlo de un sistema infectado, ejecute un antivirus al día, borre los archivos identificados como infectados, y elimine las entradas MDM y PROFICE del registro de Windows.

Para ello siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha, busque y borre la siguiente clave:

Mdm        "c:\windows\system\Mdm.vbs"

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
RunServices

5. Pinche sobre la carpeta "RUN". En el panel de la derecha, busque y borre la siguiente clave:

Profice        "c:\windows\system\Profile.vbs"

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Los archivos .HTM y .HTML sobrescritos por el virus, deberán ser recuperados desde un respaldo, o reinstalados.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Fuente: Panda Software
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS