| |
VSantivirus No. 360 - Año 5 - Martes 3 de julio de 2001
Nombre: VBS/Jolin@mm
Tipo: Gusano de Visual Basic Script
Fecha: 28/jun/01
Tamaño: 4584 bytes
Este gusano puede enviar correo electrónico masivamente, y se propaga a través del IRC (usando el cliente
mIRC), y del Outlook y Outlook Express.
Cuando el usuario hace doble clic sobre lo que supone es la imagen de una cantante taiwanesa desnuda, es el gusano el que se ejecuta, e intenta enviarse a si mismo en forma masiva, a todos los contactos de la libreta de direcciones del Outlook.
También modifica el archivo SCRIPT.INI del mIRC, si este programa está instalado en la máquina infectada, para enviarse a otros usuarios a través de los canales de chat.
El mensaje que utiliza para propagarse, tiene estas características:
Asunto: FW: Check this out...
Texto: This was the first naked picture taken by
a Taiwan singer! Jolin... please don't get over steam
by staring at the picture! keke~
Archivo adjunto: !!jolin_caught_naked!!!!.jpg.vbs
La doble extensión nos hará pensar se trata de un archivo
.JPG, ocultándose la verdadera extensión (.EXE) si mantenemos la configuración por defecto de Windows (ver "VSantivirus No. 231 - 24/feb/01, Algunas recomendaciones sobre los virus escritos en VBS").
El virus posee una rutina maliciosa que lo hace peligroso, ya que puede borrar todos los archivos
.EXE, .DLL y .INF de la carpeta C:\Windows\System, dejando a Windows inoperativo.
Además, sobreescribe con una copia de si mismo, todos los archivos con las extensiones
.ZIP, .MPG y .MPEG de la carpeta de documentos de Windows.
También es capaz de copiarse en disquetes, cada vez que uno de ellos es accedido por el sistema.
Si la computadora es infectada, Windows no podrá reiniciarse correctamente, debiendo ser reinstalado.
Si la instalación se realiza sobre los archivos anteriores, debe ejecutar antes un antivirus. Se recomienda utilizar F-PROT desde un disquete de inicio, como se explica en nuestro sitio:
VSantivirus No. 158 - 13/dic/2000
Cómo ejecutar F-PROT en un disquete (actualizado)
Luego de reinstalar Windows, ejecute un antivirus actualizado desde el propio Windows.
Se recomienda precaución al recibir archivos a través de los canales de
IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como
"send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la configuración de
"DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Si no se tiene instalado el Windows Scripting Host (1), el virus no podrá ejecutarse. Para deshabilitar el
WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
Glosario:
(1) Windows Scripting Host (WSH). Es un interprete de Java Script y de Visual Basic Script, que puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus en dichos lenguajes. Está instalado por defecto en Windows 98 y posteriores.
Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy
|
|
