Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Lavra. Se propaga a través de KaZaA, Morpheus, etc.
 
VSantivirus No. 796 - Año 6 - Jueves 12 de setiembre de 2002

VBS/Lavra. Se propaga a través de KaZaA, Morpheus, etc.
http://www.vsantivirus.com/lavra.htm

Nombre: VBS/Lavra
Tipo: Gusano de Visual Basic Script (P2P)
Alias: VBS.Lavra.Worm, Worm.P2P.Lavra
Fecha: 10/set/02
Tamaño: 8,369 bytes
Plataforma: Windows 32-bits

Escrito en Visual Basic Script, utiliza para propagarse las redes Peer-To-Peer (P2P) como KaZaA, Morpheus, BearShare y Grokster, y también el ICQ. Se disfraza como una aplicación relacionada con la pornografía.

Cuando el usuario lo ejecuta, se muestra el siguiente mensaje con un error falso:

Not a Win32 app.Error on module DllExec.

Mientras, el gusano se copia a si mismo en estas ubicaciones:

C:\Windows\MrsAnnitaBeta.vbs
C:\WinNT\MrsAnnitaBeta.vbs

Para propagarse a través de las redes de archivos compartidos entre usuarios mencionadas antes, el gusano intenta copiarse en las siguientes carpetas, utilizando diferentes nombres, todos relacionados con temas pornográficos:

C:\Archiv~1\Morpheus\My Shared Folder
C:\Program FIles\Grokster\My Grokster
C:\Program FIles\Bearshare\Shared
C:\Program FIles\ICQ\shared files
C:\Program FIles\KaZaA\My Shared Folder

También intenta detener ciertos programas antivirus y cortafuegos, además de borrar los archivos en las siguientes carpetas relacionadas con ellos:

C:\Program Files\Grisoft\AVG6\
C:\AntiViral Toolkit Pro\
C:\Program Files\Command Software\F-PROT95\
C:\Program Files\McAfee\VirusScan\
C:\Program Files\Norton AntiVirus\
C:\Toolkit\FindVirus\
C:\Program Files\Panda Software\Panda Antivirus Titanium\
C:\Program Files\Tiny Personal Firewall\
C:\PC-Cillin 95\
C:\PC-Cillin 97\
C:\Program Files\Trend Micro\PC-cillin 2002\
C:\Program Files\Zone Labs\ZoneAlarm\
C:\Program Files\Tiny Personal Firewall\

Finalmente, el gusano modificará el archivo C:\Autoexec.bat, agregando comandos capaces de ejecutar al propio gusano al reiniciarse la computadora.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: En caso de haberse borrado las carpetas relacionadas con el software antivirus o cortafuegos instalados en la computadora infectada, será necesario reinstalar dicho software.


Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre todas las líneas que hagan referencia al gusano.

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS