Virus: VBS/Erul.A. Otra falsa alarma de virus que es un virus

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 445 - Año 5 - Miércoles 26 de setiembre 2001

Nombre: VBS/Erul.A
Tipo: Gusano de Visual Basic Script
Alias: VBS.Erul.A@mm, VBS.Alert.A@mm
Fecha: 21/set/01
Tamaño: 1781 bytes

Un gusano escrito en Visual Basic Script (VBS), que se envía a todos los contactos de la libreta de direcciones del Outlook.

El mensaje que lo contiene (y en el que se propaga), posee estas características:

Asunto: Alarm!! Virus Alert
Texto: Virus Alert!!
Adjunto: Failure.dll.vbs

En una instalación normal de Windows, la extensión visible en pantalla, será solo la primera: Failure.DLL.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Si el usuario pincha sobre el adjunto, bajo condiciones normales el archivo .VBS (o sea el virus) se ejecutará.

Luego, el gusano se copia a si mismo en esta ubicación:

C:\Windows\Failure.dll.vbs

También modifica el registro de Windows para hacer que el virus se ejecute en cada reinicio de la computadora:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Failure.dll = "wscript.exe c:\windows\Failure.dll.vbs %"

Si no se ha enviado aún por correo, existe un 50% de posibilidades que se muestre una ventana de diálogo con el siguiente texto:

VBS.Failure.A

Hello!!!

Enseguida, y si hay una conexión a Internet establecida, se envía por correo, a todos los contactos de la libreta de direcciones de Windows, en mensajes como el visto al principio, infectados con el propio gusano como adjunto.

Cuando la rutina de envío finaliza, se genera la siguiente entrada en el registro, como un indicador que indica que ya ha sido enviado (no se volverá a enviar si la clave siguiente existe):

HKEY_CURRENT_USER\Software\Failure
mailed = 1

Finalmente, el gusano buscará todos los archivos con extensión .VBS en todas las unidades de disco duro locales y también las unidades de red mapeadas. Luego, se copiará a si mismo en cada archivo .VBS, sobrescribiéndolos con su propio código. El contenido original de estos archivos será imposible de recuperar, debiéndose recurrir a respaldos anteriores.

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados. Los archivos borrados .VBS deberán ser recuperados de un respaldo limpio.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

"Failure.dll" "wscript.exe c:\windows\Failure.dll.vbs %"

4. Pinche sobre el nombre "Failure.dll" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

No es necesario borrar la clave "HKEY_CURRENT_USER\Software\Failure", debido a que la misma previene que en alguna futura infección, se envíen mensajes propagando el gusano.

Fuente: Symantec
(c) Video Soft - http://www.videosoft.net.uy