Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Couple.A (VBS/LastScene.B). Descarga dos troyanos
 
VSantivirus No. 569 - Año 6 - Lunes 28 de enero de 2002

 VBS/Couple.A (VBS/LastScene.B). Descarga dos troyanos

Nombre: VBS/Couple.A (VBS/LastScene.B)
Tipo: Gusano de Internet
Alias: VBS/LastScene.B, WORM_COUPLE.A, COUPLE.A, VBS_COUPLE.A, VBS_LASTSCENE.B, WORM_LASTSCENE.
Fecha: 27/ene/02
Tamaño: 412,192 Bytes
Plataforma: Windows
Fuente: Trend Micro

Este gusano de envío masivo, se propaga vía Outlook y utiliza rutinas MAPI. Instala dos troyanos, uno de ellos una variante del SubSeven.

En alguna parte del proceso (supuestamente por descarga desde un sitio Web al que intenta conectarse el gusano), aparece en escena un archivo llamado "COUPLE4U.WRI.". La extensión corresponde a documentos de la utilidad Write de Windows.

El documento incluye tres iconos con imágenes. El primero contiene el código del gusano propiamente dicho. Los otros dos son archivos gráficos legítimos.

Cuando la víctima abre el documento, y hace doble clic sobre el primer icono, la copia embebida en su cuerpo, del propio gusano (originalmente llamado "RESULT.EXE" de 412,192 Bytes) es liberada (ver en Referencias: VBS/LastScene). Dicho código, compilado en Delphi, al ejecutarse, crea cuatro archivos con nombres seleccionados al azar, en la carpeta de archivos temporales de Windows.

El primer archivo creado es un .JPG, de 18,544 Bytes, que es desplegado al usuario para ocultar la actividad de creación de los otros tres.

Dos de los archivos creados, son troyanos, Troj/OptixKill.A y Troj/Sub7.21b.

El último archivo creado, es un script de Visual Basic Script (.VBS), que contiene la rutina de propagación del gusano vía e-mail.

Después de ser corrido por el gusano, este archivo hace use de rutinas MAPI y del Outlook para capturar todas las entradas de la libreta de direcciones del usuario infectado y enviar los datos vía correo no solicitado a todas esas direcciones. El gusano borra el mensaje enviado de la carpeta de "Elementos enviados", para hacer más difícil la investigación de su presencia en el sistema.

El mensaje enviado tiene estas características:

Asunto: Nice Couple

Texto del mensaje:
They want to meet you.
http://[xxxxx].yahoo.com/youngwifedawn

Adjuntos: (no contiene adjuntos)

Las [xxxxx] ocultan la verdadera dirección del sitio en la red, para evitar la infección de nuevos usuarios (PD: el sitio fue dado de baja hoy domingo 27/ene/02).

No existe ningún archivo adjunto en el mail. Por lo tanto, es posible que el archivo .WRI original se descargue del sitio Web mencionado en el mensaje.

Para limpiar manualmente un sistema infectado, debe proceder a ejecutar uno o más antivirus al día.

Vea la referencia a los troyanos Troj/OptixKill.A, y Troj/Sub7.21b, para la limpieza completa de un sistema infectado.

Recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm

Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Referencias:

VSantivirus No. 550 - 9/ene/02
VBS/LastScene. Cuidado con un adjunto llamado SCENES.ZIP
http://www.vsantivirus.com/lastscene.htm

VSantivirus No. 569 - 28/ene/02
Troj/OptixKill.A. Desactiva todos los antivirus presentes
http://www.vsantivirus.com/troj-optixkill-a.htm

VSantivirus No. 569 - 28/ene/02
Troj/Sub7.21b. Control total y clandestino del PC
http://www.vsantivirus.com/troj-sub7-21b.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS