| |
VSantivirus No. 1118 Año 7, Miércoles 30 de julio de 2003
VBS/Bingd.A. Modifica severamente el registro
http://www.vsantivirus.com/bingd-a.htm
Nombre: VBS/Bingd.A
Tipo: Gusano de Visual Basic Script
Alias: VBS.Bingd@mm, Trojan.VBS.NoExp, VBS/Generic@MM
Fecha: 29/jul/03
Tamaño: 3,878 bytes
Plataforma: Windows 32-bit
Cuando se ejecuta, este gusano realiza severas modificaciones en el registro de Windows, lo que ocasiona que éste no se pueda volver a ejecutar adecuadamente.
Escrito en Visual Basic Script, el gusano utiliza el Microsoft Outlook y Outlook Express para propagarse, enviándose a los 7 primeros contactos de la libreta de direcciones de esos programas.
El mensaje posee asunto y texto escritos en chino, y como adjunto, el siguiente archivo, que es el propio gusano:
Bingdian.vbs
La extensión .VBS no es visible en una configuración por defecto de Windows (ver en las referencias "Mostrar las extensiones verdaderas de los archivos").
Cuando el usuario hace doble clic sobre el adjunto, el gusano se ejecuta, copiándose en la carpeta de Windows:
c:\windows\Bingdian.vbs
NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
Crea luego, la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
bingdian = c:\windows\Bingdian.vbs
También realiza los siguientes cambios en el registro, la mayoría de los cuáles impedirán que el sistema funcione adecuadamente:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoRun = 1
NoClose = 1
NoDrives = 63000000
NoLogOf = 1
NoDesktop = 1
NoSetTaskBar = 1
NoViewContextMenu = 1
NoSetFolders = 1
NoFileMenu = 1
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = 1
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\WinOldApp
NoRealMode = 1
Disabled = 1
HKCU\Software\Policies\Microsoft
\Internet Explorer\Control Panel
Advanced = 1
Cache Internet = 1
AutoConfig = 1
HomePage = 1
History = 1
Connwiz Admin Lock = 1
SecurityTab = 1
ResetWebSettings = 1
HKCU\Software\Policies\Microsoft
\Internet Explorer\Infodelivery\Restrictions
NoAddingSubScriptions = 1
HKCU\Software\Policies\Microsoft
\Internet Explorer\Restrictions
NoBrowserContextMenu = 1
NoBrowserOptions = 1
NoBrowserSaveAs = 1
NoFileOpen = 1
NoViewSource = 1
HKLM\Software\CLASSES\.reg\
(Predeterminado) = "txtfile"
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
ScanRegistry = ""
HKLM\Software\Microsoft\Windows
\CurrentVersion\Winlogon
LegalNoticeCaption = "Welcome to bing dian BBS"
LegalNoticeText = "Welcome to bing dian BBS"
El gusano busca la presencia del Microsoft Outlook en la máquina infectada. Si existe, entonces se envía adjunto en un mensaje como el ya explicado, a los primeros 7 contactos de la libreta de direcciones.
Reparación manual
Antivirus
Los siguientes pasos solo se dan como referencia, ya que si el gusano se ejecutó, los cambios realizados en el registro de Windows, harán imposible una recuperación del sistema. La única solución efectiva será reinstalar Windows.
Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\Bingdian.vbs
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
Solo se indican los valores reales de las claves del registro que han sido modificadas como referencia, ya que los mismos cambios pueden impedir acceder al editor del registro para su reparación manual.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
bingdian
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Valores originales del registro de Windows
Estas son los valores originales de Windows, para todos las entradas modificadas por el gusano si el mismo se llegó a ejecutar:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoRun = 0
NoClose = 0
NoDrives = 0
NoLogOf = 0
NoDesktop = 0
NoSetTaskBar = 0
NoViewContextMenu = 0
NoSetFolders = 0
NoFileMenu = 0
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = 0
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\WinOldApp
NoRealMode = 0
Disabled = 0
HKCU\Software\Policies\Microsoft
\Internet Explorer\Control Panel
Advanced = 0
Cache Internet = 0
AutoConfig = 0
HomePage = 0
History = 0
Connwiz Admin Lock = 0
SecurityTab = 0
ResetWebSettings = 0
HKCU\Software\Policies\Microsoft
\Internet Explorer\Infodelivery\Restrictions
NoAddingSubScriptions = 0
HKCU\Software\Policies\Microsoft
\Internet Explorer\Restrictions
NoBrowserContextMenu = 0
NoBrowserOptions = 0
NoBrowserSaveAs = 0
NoFileOpen = 0
NoViewSource = 0
HKLM\Software\CLASSES\.reg\
(Predeterminado) = "regfile"
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
ScanRegistry = "scanregw.exe /autorun"
HKLM\Software\Microsoft\Windows
\CurrentVersion\Winlogon
LegalNoticeCaption = ""
LegalNoticeText = ""
Información adicional
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
