Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Hart. Fotos eróticas de Britney y falso antivirus
 
VSantivirus No. 624 - Año 6 - Sábado 23 de marzo de 2002

 VBS/Hart. Fotos eróticas de Britney y falso antivirus
http://www.vsantivirus.com/hart.htm

Nombre: VBS/Hart
Tipo: Gusano de Visual Basic Script
Alias: VBS.Hart@mm
Fecha: 21/mar/02
Tamaño: 11,980 bytes

Este gusano escrito en Visual Basic Script, se autoenvía a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.

También se copia a si mismo a todas las unidades de disco locales y mapeadas en una red, y es capaz de propagarse a través del mIRC.

Su mayor peligrosidad reside en la gran cantidad de mensajes enviados, lo que puede ocasionar enlentecimientos en los servidores SMTP de los diferentes proveedores.

El mensaje recibido puede contener alguno de estos adjuntos:

Britney.pif
You_bad.pif
E-card.eml
Update_Symantec.pif

En todos los casos, el archivo tiene un tamaño de 11,980 bytes

Si el usuario abre uno de estos adjuntos, se ejecuta el gusano, el cuál realiza las siguientes acciones:

Crea los siguientes archivos en la máquina infectada:

C:\Windows\E-card.eml 
C:\Windows\E_card.zip 
C:\Windows\By-BR3AK-H3ART.vbs 
C:\Windows\System32.dli

Note que este último nombre no es un archivo DLL (de ele ele), sino DLi (de ele i).

C:\Windows\decode.dll 
C:\Windows\Britney.pif 
C:\Windows\You_bad.pif 
C:\Windows\Update_Symantec.pif 
C:\Runwin.bat 
C:\a.bat 
C:\Ultima.vbs

Luego agrega este valor al registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
system32 = C:\windows\by-BR3AK-H3ART.vbs

Busca el archivo WIN.INI y agrega en él la siguiente línea:

[windows] 
run=C:\WINDOWS\WScript.exe C:\Windows\System32.dli

Luego, procede a enviarse a todas las direcciones de la libreta de direcciones del Outlook, en un mensaje seleccionado de las siguientes posibilidades:

Asunto: Britney Erotic Photos!!
Texto: Britney New Photo
Datos adjuntos: Britney.pif

Asunto: This you phoros why this make
Texto: you bad :(
Datos adjuntos: You_bad.pif

 Asunto: Hi My Friend !
 Texto: This e-card for you
Datos adjuntos: E-card.eml

 Asunto: Symantec New Update
 Texto: New Update
Datos adjuntos: Update_Symantec.pif

Luego, el gusano crea un archivo SCRIPT.INI en la carpeta del mIRC, que este programa usará para propagar el virus en los diferentes chats en que participe el usuario infectado.

El gusano también hará una búsqueda en todas las unidades de disco locales y remotas compartidas en red, de archivos con las extensiones .GIF, .BMP, y .WAV.

Si encuentra archivos .GIF y .BMP, el gusano se copia a si mismo a la misma carpeta de esos archivos, con el mismo nombre del archivo encontrado, pero con la segunda extensión .PIF agregada a su nombre:

EJEMPLO.GIF (archivo original)
EJEMPLO.GIF.PIF (gusano con doble extensión)

El atributos OCULTO del archivo original (EJEMPLO.GIF) es activado (+H). El único EJEMPLO.GIF visible en esa carpeta será el gusano (EJEMPLO.GIF.PIF), cuya segunda extensión no es mostrada en una configuración por defecto de Windows.

El mismo procedimiento lo hace con los archivos .WAV, pero copiándose con la doble extensión .EML en lugar de .PIF.

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por VBS/Hart

4. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):

C:\Runwin.bat 
C:\A.bat 
C:\Ultima.vbs

5. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

system32 C:\windows\by-BR3AK-H3ART.vbs

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

9. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

10. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [windows], bórrelo.

Por ejemplo:

[windows] 
run=C:\WINDOWS\WScript.exe C:\Windows\System32.dli

Debe quedar como:

[Windows]
run=

11. Grabe los cambios y salga del bloc de notas.

12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

El virus utiliza el truco de la doble extensión para disimular la verdadera. Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

  • En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
  • En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
  • En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Más información:

VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS