Pagina.htm
Virus.hta
Virus.vbs
Virus.htm

"Pagina.htm" contiene el diseño del fondo, "Virus.hta" y "Virus.vbs" son copias del virus, copiados en la carpeta \Windows, y "Virus.htm" es un archivo temporal creado en el raíz de la unidad C, y borrado si el archivo "Virus.vbs" se está ejecutando.

Luego, el gusano busca todos los archivos .HTM, .VBS, .ASP, .HTT en todas las carpetas de todos las unidades de disco locales, o mapeadas en red.

Por cada archivo encontrado, el gusano intenta localizar las cadenas tipo "mailto:<dirección de correo>", para capturar estas direcciones, y enviar un mensaje infectado.

Los archivos .HTM, .VBS, .ASP y .HTT encontrados, también serán infectados. El nombre de estos archivos se guarda en la siguiente clave del registro:

HKEY_CURRENT_USER\Software\Help\FileName

También modifica el registro de Windows, agregando la siguiente clave:

HKEY_CURRENT_USER\Software\Help\Count

El valor "Count" es actualizado con la cantidad de archivos infectados.

Cuando esta cantidad llega a determinada cantidad de infecciones, el script realiza una de estas dos acciones (A o B):

A. Busca en los mensajes presentes en la Bandeja de entrada del Outlook, y envía a todos ellos un mensaje con un adjunto infectado y el cuerpo del mensaje en blanco.

B. Envía un mensaje a toda la lista de direcciones de la libreta del Outlook, con el cuerpo del mensaje en blanco.

El gusano modifica el papel tapiz por defecto del escritorio de Windows, para que sea mostrada una página infectada (VIRUS.HTM), en cada reinicio de Windows. Para ello cambia la siguiente clave del registro:

HKCU\Control Panel\desktop
wallPaper=C:\WINDOWS\Virus.htm

Para esconder esta acción, el gusano intenta usar la misma imagen de fondo existente antes de la infección.

Esto funcionará siempre que el "Active Desktop" esté habilitado (en Windows 98, "Inicio", "Configuración", "Active Desktop", "Ver como página Web" tildado).

El gusano infectará también todos los archivos .HTT del subdirectorio C:\WINDOWS\WEB. Esto ocasionará que todas las vistas HTML de las carpetas del sistema (Mi PC, Panel de Control, Impresoras, etc.) que se abren con el Explorador de Windows, sean infectadas, siempre que la opción para ver una carpeta como página Web esté habilitada (menú "Ver", opción "Cómo una pagina Web").

El gusano cambia la configuración del formato de envío de correo por defecto a HTML (Herramientas, Opciones, Enviar, Configuración de formato de envío de correo), y coloca el archivo C:\Windows\Pagina.htm como la plantilla para los nuevos mensajes.

Para ello, modifica las siguientes claves del registro:

HKCU\Identities\[Identificador]\Software\Microsoft\Outlook Express\5.0\Mail

Message Send HTML="1"
Compose Use Stationery="1"
Stationery Name="C:\WINDOWS\Pagina.htm"

El [Identificador] es diferente para cada usuario, y es tomado por el virus de la siguiente clave del registro:

HKCU\Identities\Default User ID

Es importante hacer notar que si su programa de correo o servidor de correo Web no es capaz de manejar mensajes con formato, el código del mismo es convertido en un adjunto, el cuál al ser abierto, también propagará la infección.


Como sacar el virus de un sistema infectado en forma manual

1. Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

2. Borre los archivos .HTT de la carpeta C:\Windows\Web. Para ello, desde Inicio, Buscar, Archivos o carpetas, seleccione en "Buscar en:" lo siguiente:

C:\Windows\Web

3. En "Nombre", escriba *.HTT, luego borre cada uno de los archivos *.HTT que aparezcan en la carpeta C:\Windows\Web.

4. Vacíe la Papelera de reciclaje (botón derecho sobre ella, "Vaciar la papelera de reciclaje".

5. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Help

7. Pinche sobre la carpeta "Help" y luego borre las siguientes carpetas:

Count
FileName

8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Control Panel
\desktop

9. Pinche sobre la carpeta "DESKTOP". En el panel de la derecha busque algo como:

wallPaper         "C:\WINDOWS\Virus.htm"

10. Pinche dos veces sobre el nombre "wallPaper" y borre el contenido de "Información del valor" ("C:\WINDOWS\Virus.htm"). Confirme los cambios. Debería quedar algo así:

wallPaper ""

11. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Identities
\[Identificador Ej: {3BA26F68-D213-13E2-AA78-0040335886EE}]
\Software
\Microsoft
\Outlook Express
\5.0
\Mail

12. Pinche sobre la carpeta "Mail". En el panel de la derecha busque las siguientes claves:

Compose Use Stationery   "1"
Message Send HTML   "1"
Stationery Name   "C:\Windows\Pagina.htm"

13. Pinche dos veces sobre cada uno de los nombres ("Compose Use Stationery", "Message Send HTML", "Stationery Name"), y modifique el contenido de "Información del valor" de modo que el resultado sea:

Compose Use Stationery   "0"
Message Send HTML   "0"
Stationery Name   ""

14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Recomendaciones en la configuración del Outlook Express para no usar formato HTML.

Configure el Outlook Express para no enviar correo con formato HTML. Para ello, desde Herramientas, Opciones, en Enviar, desmarque "Responder a los mensajes en el formato en que se enviaron". En Configuración de formato de envío de correo, tilde "Texto sin formato", y en "Texto sin formato", marque las casillas "MIME" Codificar usando "Ninguna", y "Permitir caracteres de 8 bits en encabezados".

Para quitar el Panel de vista previa, vaya a "Ver", "Diseño" y desmarque "Mostrar panel de vista previa".

Vaya a Herramientas, Opciones, Seguridad y en "Zonas de seguridad", marque "Zona de sitios restringidos (más segura)".


Otras recomendaciones

En el Internet Explorer:

Vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Tenga en cuenta que algunos sitios tal vez no funcionen correctamente cuando usted navegue luego en ellos.

Descargue si no lo ha hecho, el parche de Microsoft para corregir la vulnerabilidad de la que se aprovecha este virus (se ejecuta sin abrir ningún adjunto):

http://www.microsoft.com/technet/ie/tools/scrpteye.asp


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Sobre el registro de Windows

Se recomienda realizar una copia del registro cada vez que se pretenda modificarlo. Cambios incorrectos o errores, pueden ocasionar el bloqueo o imposibilidad de reiniciar Windows. Para ello, al entrar en REGEDIT, marque "Mi PC" en la ventana de la izquierda, y seleccione el menú "Registro", "Exportar archivo del registro". Guarde el archivo generado.

Para recuperar el registro, si puede ingresar a Windows, ejecute REGEDIT, seleccione "Registro", "Importar archivo del registro" y seleccione el archivo guardado antes.

Para restaurar el Registro desde MS-DOS.

1. Haga clic en Inicio y después haga clic en Apagar el sistema.

2. Haga clic en Reiniciar en modo MS-DOS y después en Aceptar (o pulse CTRL o F8 al reiniciar la computadora para entrar en el menú de inicio y seleccionar "Sólo símbolo del Sistema").

3. Escriba en la línea de comandos lo siguiente:

scanreg  /restore

4. Seleccione una versión del registro anterior a la actual, y reinicie su equipo.


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Referencias:

VBS/Haptime. El peligro del correo con formato HTML
http://www.vsantivirus.com/happytime-a.htm

VBS/Kakworm-A. Se propaga sin necesidad de adjuntos
http://www.vsantivirus.com/kak-a.htm

VBS/Kakworm-E. Infecta con solo verlo en vista previa
http://www.vsantivirus.com/kak-e.htm


Glosario:

MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com