Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Wielki.A@mm. Produce reinicios esporádicos del PC
 
VSantivirus No. 308 - Año 5 - Sábado 12 de mayo de 2001

Nombre: VBS/Wielki.A@mm
Tipo: Gusano de Visual Basic Script
Alias: VBS/WielkiBat
Origen: Polonia
Tamaño: 3,767 bytes
Fecha: 10/may/01

Se trata de un clásico gusano capaz de enviarse a si mismo en forma masiva a través del correo electrónico, y de borrar todos los archivos con extensiones .VBS y .VBE en las unidades de disco locales y las mapeadas en red.

Llega en un mensaje con estas características:

De: [usuario infectado]
Asunto: Patrz co mam!!!

Texto:
Patrz co mam od "Gazety Wyborczej Totalizator oszukal nas wszystkich. W zalaczniku przysylamy program umozliwiajacy poznanie wyników losowania Multilotka juz o 19:00 czyli dlugo przed losowaniem. Mozna dzieki temu sporo wygrac. Zasade dzialania i czemu on sluzy opiszemy w niedlugim czasie na lamach naszego dziennika w artykule "Wielki Bat". Ladna sensacja.

Archivo adjunto: wielki_bat.vbs

Cuando abrimos el adjunto, el virus se copia en la carpeta de Windows, (generalmente C:\Windows):

C:\Windows\wielki_bat.vbs

Una vez copiado, el gusano hará que en forma randómica (1 de cada 50 veces), la computadora se reinicie sola. También se enviará a todos los contactos de la libreta de direcciones del Microsoft Outlook Address Book.

Los mensajes enviados serán iguales al recibido anteriormente.

El virus modificará la siguiente clave del registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinUpdate = "wscript.exe C:\Windows\wielki_bat.vbs"

Esto causará la ejecución del virus en cada inicio de Windows.

El virus sobrescribirá también todos los archivos con extensiones .VBS y .VBE en las unidades de disco locales y en red.

Si en la máquina infectada está instalado el programa de chateo mIRC, el gusano creará un archivo "script.ini" en la carpeta de dicho programa, con las instrucciones necesarias para enviarse a todos los usuarios que se conecten al canal de IRC en el que se encuentre el usuario infectado.

Para eliminar el virus de un sistema infectado, ejecute un antivirus al día, elimine la clave WinUpdate = "wscript.exe C:\Windows\wielki_bat.vbs" del registro (en HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run), utilizando REGEDIT (Inicio, Ejecutar, REGEDIT+Enter).

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS

Fuente: Central Command, Panda Antivirus

 

Copyright 1996-2001 Video Soft BBS