Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Anjulie.J. Utiliza el correo electrónico y el IRC
 
VSantivirus No. 680 - Año 6 - Sábado 18 de mayo de 2002

VBS/Anjulie.J. Utiliza el correo electrónico y el IRC
http://www.vsantivirus.com/anjulie-j.htm

Nombre: VBS/Anjulie.J
Tipo: Gusano de Visual Basic Script
Alias: VBS_ANJULIE.J, IRC_ANJULIE.J
Plataforma: Windows
Tamaño: 4,487 bytes
Fecha: 17/may/02
Fuente: Trend

Este gusano, escrito en lenguaje Script de Visual Basic, utiliza el Outlook para propagarse a través del correo electrónico.

Se envía a si mismo en mensajes con adjuntos infectados, a toda la lista de contactos de la libreta de direcciones:

Asunto: god loves kittens!
Texto: haha look at this!
Datos adjuntos: setup.vbe

También puede enviarse a través del programa mIRC (cliente utilizado para participar en canales de chat). Para ello crea un script de IRC.

Cuando el usuario ejecuta un adjunto infectado o un archivo recibido a través del mIRC, el gusano toma el control, copiándose a si mismo en la carpeta System de Windows y en la carpeta de instalación del mIRC:

C:\Windows\System\SETUP.VBE
\Mirc\MIRC32.DAT

Luego se envía a través del Outlook en un mensaje similar al mostrado antes, a toda la libreta de direcciones.

Si encuentra el mIRC en el sistema, genera los archivos MIRC32.INI y MIRC32.DAT, ambos con instrucciones para enviar copias del propio gusano a todos los usuarios conectados al mismo canal de IRC del usuario infectado.

El gusano también modifica el registro de Windows, para ejecutarse luego en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Mirc32 = "wscript.exe c:\windows\system\setup.vbe"

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.


Reparación manual

Para reparar manualmente la infección provocada por este gusano, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por el gusano

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Mirc32         "wscript.exe c:\windows\system\setup.vbe"

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS