Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Chu.A. Simula ser una actualización para MS Exchange
 
VSantivirus No. 715 - Año 6 - Sábado 22 de junio de 2002

VBS/Chu.A. Simula ser una actualización para MS Exchange
http://www.vsantivirus.com/chu-a.htm

Nombre: VBS/Chu.A
Tipo: Gusano de Visual Basic Script
Alias: VBS_CHU.A, I-Worm.Chu, VBS.Xchange
Fecha: 17/jun/02
Plataforma: Windows
Tamaño: 5,770 bytes
Fuente: Trend

Este gusano llega en un mensaje con un adjunto llamado MSXCHANGE.VBS, y es capaz de infectar otros archivos VBS (Visual Basic Scripts), y documentos de Microsoft Word (DOC).

Cuando se ejecuta, el virus se copia a si mismo en la carpeta correspondiente a Windows:

C:\Windows\MSXchange.vbs

También genera la siguiente entrada en el registro para ejecutarse cada vez que la computadora se reinicie.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MsExchange = C:\Windows\MSXchange.vbs

La carpeta \Windows puede variar de nombre de acuerdo a la versión de Windows instalada.

Luego, crea el archivo XChange.vba en el raíz del disco C:

C:\XChange.vba

Este archivo contiene un código de macros que el virus exporta al módulo de macros de los archivos .DOC. Para infectar otros documentos de Word, el virus infecta la plantilla genérica NORMAL.DOT y luego infecta cada archivo .DOC que es abierto.

También envía un mensaje infectado con uno de los siguientes formatos:

Versión 1:

Asunto: Upgrade MS Exchange

Texto:
Run this attached file to upgrade MS Exchange.

Datos adjuntos: MSXchange.vbs

Versión 2:

Asunto: Update and upgrade MS Exchange

Texto:
Run this attached file to upgrade Ms Exchange. See you soon.

Datos adjuntos:   .vbs

El caracter antes de la extensión no es visible por lo cuál, si no se tiene habilitada la opción para ver todas las extensiones, no será visible ningún nombre de archivo.

Si se ejecuta el adjunto, el virus hace uso de rutinas MAPI (Messaging Application Programming Interface) para enviar estos mensajes infectados. Las direcciones de los destinatarios, las obtiene de la lista de contactos de Microsoft Outlook del sistema infectado, y de los archivos HTM, HTML, HTT, y ASP que encuentre en el sistema.

Infecta todos los archivos con extensiones VBS o VBE, en los directorios Windows y Windows\System. Para infectarlos, les inserta su código al principio. La primera línea de los archivos infectados contiene el siguiente texto que sirve de marca para no volver a infectar los mismos archivos:

'VBS.Xchange'


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Repare los archivos detectados como infectados

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

MsExchange         C:\Windows\MSXchange.vbs

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS