Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Lubus.C. Asunto: TH, datos adjuntos: THWIN.VBS
 
VSantivirus No. 759 - Año 6 - Martes 6 de agosto de 2002

 VBS/Lubus.C. Asunto: TH, datos adjuntos: THWIN.VBS
http://www.vsantivirus.com/lubus-c.htm

Nombre: VBS/Lubus.C
Tipo: Gusano de Visual Basic Script
Alias: VBS_LUBUS.C, I-Worm.Lubus.c, VBS/LoveLetter@MM
Fecha: 5/ago/02
Plataformas: Windows 32-bits
Tamaño: 15,706 bytes

Este gusano, escrito en Visual Basic Script, utiliza el correo electrónico para propagarse, a través de mensajes con estas características:

Asunto: TH

 Texto:
[nombre destinatario] Eres algo especial...escríbeme

 Datos adjuntos: THWIN.VBS

Donde [nombre destinatario] es el nombre o la dirección del destinatario del mensaje (nuestro nombre por ejemplo, si así figura en la libreta del usuario infectado).

Cuando se ejecuta (doble clic sobre el adjunto), se muestra el siguiente mensaje de error falso para disimular su verdadera acción:

ERROR
Error de lectura. No se puede abrir el archivo
[    Aceptar    ]

Luego de ello, se copia en las siguientes ubicaciones:

C:\Windows\System\MSWORD.VBS
C:\Windows\System\THWIN.VBS
C:\Windows\System\LISTWIN.TXT

En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

El archivo LISTWIN.TXT contiene la información sobre los archivos que el gusano borra.

Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
THWIN = C:\Windows\system\THWIN.VBS

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
THWIN = C:\Windows\system\MSWORD.VBS

El gusano puede borrar cada vez, cinco archivos que escoge al azar entre aquellos con las siguientes extensiones, presentes en cualquier ubicación de la máquina infectada:

*.XLS
*.DOC
*.WAV
*.DWG
*.MP3
*.BAK
*.WAV
*.BMP
*.HTM
*.HLP
*.CHM
*.JPG
*.GIF
*.SCR
*.TTF
*.MID
*.CDR
*.MDB
*.DBF
*.ICO

El gusano sobrescribe también los archivos con extensión VBS que encuentre en cualquier disquete insertado en la unidad A, copiándose además con el nombre UNSCH.DOC.VBS.

Libera en el sistema el código de otro gusano (VBS/Redlof.A), y luego lo ejecuta. Este segundo gusano es también un script de Visual Basic (VBS), capaz de configurar por defecto diseños de fondo infectados (.HTM) para Microsoft Outlook y Outlook Express, y explota para ello la vulnerabilidad conocida como "Microsoft VM ActiveX Component Vulnerability", que permite la ejecución de código embebido en mensajes con formato y en documentos HTML.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma (la siguiente información incluye la limpieza del gusano 'VBS/Redlof.A' liberado por el gusano 'VBS/Lubus.C'):

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:

Kernel32
THWIN

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

8. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

THWIN

9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: 

HKEY_CURRENT_USER
\Identities
\{...identificador del usuario...}
\Software
\Microsoft
\Outlook Express
\5.0
\Mail

10. Pinche en la carpeta "Mail" y en el panel de la derecha pinche sobre las entradas "Stationery Name" y "Wide Stationery Name", dejando en todos los casos vacío el campo "Información del valor".

11. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows Messaging Subsystem
\Profiles
\Microsoft Outlook Internet Settings
\0a0d020000000000c000000000000046

12. Pinche en la carpeta "0a0d020000000000c000000000000046" y en el panel de la derecha pinche sobre la entrada "001e0360", dejando vacío el campo "Información del valor".

13. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Office
\10.0
\Common
\MailSettings

14. Pinche en la carpeta "MailSettings" y en el panel de la derecha pinche sobre la entrada "NewStationery", dejando vacío el campo "Información del valor".

15. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\dllfile

16. Pinche en la carpeta "dllfile" y borre las siguientes carpetas que cuelgan de ella:

\ScriptEngine
\ScriptHostEncode
\Shell
\ShellEx

17. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

18. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Uso de Proxomitron para protegernos de HTMLs maliciosos

Para disminuir el riesgo de infección y evitar daños provocados por el uso malintencionado de código malicioso embebido en páginas WEB por el simple hecho de visualizarlas, recomendamos la instalación de la utilidad Proxomitron.

Para instalar y configurar esta utilidad, así como para obtener más información sobre la misma, siga este enlace:

VSantivirus No. 646 - 14/abr/02
Proxomitron. Una protección imprescindible para navegar
http://www.vsantivirus.com/proxomitron.htm


Más información

VBS/Lubus.A. Asunto: ANGEL1. Archivo: ANGEL1.PPT.vbs
http://www.vsantivirus.com/lubus-a.htm

VBS/Redlof.A. Infección por medio del correo con formato
http://www.vsantivirus.com/redlof-a.htm


Glosario:

Windows Scripting Host (WSH). Es un interprete de Java Script y de Visual Basic Script, que puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus en dichos lenguajes. Está instalado por defecto en Windows 98 y posteriores.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS