Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Happy Halloween se propaga por E-mail y vía Chat
 
VSantivirus No. 481 - Año 6 - Jueves 1 de noviembre de 2001

Happy Halloween se propaga por E-mail y vía Chat

Nombre: VBS/HappyHalloween
Tipo: Gusano de Internet
Alias: WinUpdate.vbs, VBSWG-based
Fecha: 31/oct/01

[Descripción proporcionada por Per Systems (Perú)
http://www.perantivirus.com/sosvirus/virufamo/hallow.htm]

Happy Halloween.vbs, fue reportado el 31 de Octubre del 2001 y al igual que VBS/Antrax, ha sido generado con el Kit de Construcción de Gusanos en Visual Basic Scripts, denominado VBSWG (Visual Basic Script Worm Generator), el mismo que se distribuye gratuitamente en diversos sitios web de desarrolladores de virus. 

Infecta todos los sistemas operativos Microsoft Windows 98/NT/2000/Me/XP, incluyendo los servidores NT/2000. 

El gusano se propaga masivamente a través de mensajes de correo electrónico vía Internet, con un archivo anexado denominado Winupdate.vbs, de una extensión de 6,951 bytes, haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface). Una vez que un sistema es infectado, Happy Halloween se autoenvía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo:

Asunto: Happy Halloween

Texto:
Hi:
Check This!

Archivo adjunto: winupdate.vbs (5.26 KB)

Adicionalmente, se envía a través de los canales de chat que usan el software mIRC (http://www.mirc.com/ ) y Pirch (http://www.pirchat.com/).

Al ejecutarse el archivo infectado, el gusano se auto-copia a la carpeta C:\Windows, con el nombre Winupdate.vbs y con el propósito de ejecutarse cada vez que se inicie el sistema crea las siguientes llaves de registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"wsock32" = "wscript.exe c:\windows\winupdate.vbs %"

Para determinar si ya intentó enviarse por correo electrónico o si ya modificó el mIRC para intentar propagarse vía IRC (Internet Relay Chat) el gusano verifica la existencia de las siguientes entradas en el registro de Windows, las cuales emplea :

HKCU\software\Happy Halloween\mailed
HKCU\software\Happy Halloween\mirqued
HKCU\software\Happy Halloween\pirched

Si el valor de estas claves es igual a uno, significa que ya ejecutó estas acciones. En caso contrario empezará a auto-enviarse.

El mensaje siempre es el mismo así como el archivo anexado. Una vez enviado, el gusano elimina el mensaje de la carpeta de Elementos Enviados de MS Outlook. Si esta aplicación no se encuentra instalada y configurada en el sistema, el virus no podrá re-enviarse por correo electrónico.

A continuación, busca la existencia de la aplicación mIRC en el sistema infectado y si ésta es hallada crea un archivo script.ini para intentar propagarse a través del IRC, utilizando esta herramienta de chat. De este modo, cuando el usuario se encuentre participando en alguna sesión de chat, utilizando el mIRC, el sistema del usuario infectado enviará una copia del gusano a cada persona que se conecte o esté participando en esa sesión.

El gusano además sobre escribe su código en todos los archivos con extensión .vbs y .vbe del sistema, el mismo que contiene el siguiente comentario al comienzo de su código:

Vbs.Happy Halloween Created By YunkelTeaM

Se recomienda tener siempre actualizado cualquier buen software antivirus de su preferencia y jamás ejecutar un archivo anexado de un mensaje de correo electrónico de procedencia sospechosa o desconocida. 

Jorge Machado
jmachado@persystems.com


Como sacar el virus de un sistema infectado
[Método de limpieza proporcionado por VirusAttack! - http://www.virusattack.com.ar]

Para eliminar el virus manualmente, siga estos pasos:

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

wsock32

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Happy Halloween

5. Pinche en la carpeta "Happy Halloween" y bórrela con la tecla SUPR o DELETE.

6. Utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Buscar y eliminar cualquier archivo SCRIPT.INI que se encuentre en el directorio del mIRC, si lo tiene instalado.

8. Buscar y eliminar cualquier archivo EVENTS.INI que se encuentre en el directorio del Pirch, si lo tenemos instalado.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar)

10. Busque y borre el archivo WINUPDATE.VBS (C:\WINDOWS).

11. Ejecute un antivirus actualizado y elimine todo archivo infectado por el gusano.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS