Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Yello. Infecta a través del mIRC
 
VSantivirus No. 137 - Año 4 - Miércoles 22 noviembre de 2000

Nombre: VBS/Yello
Tipo: Gusano de mIRC y Visual Basic Script

Este gusano escrito en Visual Basic Script, se propaga a través del cliente de IRC (Internet Relay Chat), mIRC. Cuando se ejecuta, el virus copia varios archivos al disco duro y cambia el papel tapiz del escritorio de Windows, por lo que es fácil conocer su presencia.

Al ejecutarse por primera vez, el script ejecuta estas tareas:

* Busca el programa mIRC en las siguientes ubicaciones:

C:\mirc\mirc32.exe 
C:\Program Files\mirc\mirc32.exe 
D:\mirc\mirc32.exe 
D:\Program Files\mirc\mirc32.exe

Si lo encuentra, infecta el ejecutable.

* Se copia a si mismo en:

c:\windows\system\Wordsworth.vbs
c:\windows\system\Log.vbs
c:\windows\SXB.vbs

* Crea las siguientes claves en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Wordz1="c:\windows\system\Log.vbs"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Wordz2="c:\windows\media\foolx.vbs"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Wordz3="c:\windows\SXB.vbs"

Esto le permite ejecutarse en el próximo inicio de Windows.

* Luego crea estos archivos:

c:\windows\media\foolx.vbs

Este archivo contiene las instrucciones para crear el archivo foolx.ini.

c:\windows\media\foolx.ini

Este archivo contiene las instrucciones para crear el archivo Yello.jpg.

c:\windows\system\medi\Yello.jpg

* Cambia el papel tapiz por el siguiente:

c:\windows\system\medi\Yello.jpg

* Sobrescribe el archivo Script.ini del mIRC, con las instrucciones necesarias para enviar el archivo "c:\windows\system\Wordsworth.vbs" a otros usuarios con los que la víctima participe en los chats.

La primera vez que este script se ejecuta, el archivo "c:\windows\system\Daf.hlp" es creado vacío y es mostrada una ventana con el título "~{Wordsworth}~", y el siguiente texto:

I Wandered Lonely As A Cloud (1807) 

I wondered lonely as a cloud 
That floats on high o'er vales and hills, 
When all at once I saw a crowd, 
A host, of golden daffodils; 
Beside the lake, beneath the trees, 
Fluttering and dancing in the breeze. 

Continous as the stars that shine 
And twinkle on the milky way, 
They stretched in never-ending line 
Along the margin of a bay: 
Ten thousand saw I at a glance, 
Tossing their heads in a sprighty dance. 

The waves beside them danced; but they 
Outdid the sparkling waves in glee; 
A poet could not but be gay, 
In such a jocund company; 
I gazed-and gazed-but little thought 
What wealth the show to me had brought: 

For oft, when on my couch I lie 
In vacant or in pensive mood, 
They flash upon that inward eye 
Which is the bliss of solitude; 
And then my heart with pleasure fills, 
And dances with the daffodils.

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Fuente: McAfee

 

Copyright 1996-2000 Video Soft BBS