Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: VBS/Netlog.I. Se propaga a través de recursos compartidos
 
VSantivirus No. 415 - Año 5 - Lunes 27 de agosto de 2001

Nombre: VBS/Netlog.I
Tipo: Gusano de Visual Basic Script
Fecha: 9/ago/01
Tamaño: 3,620 bytes

Es una variante del VBS/Network, que intenta mapear direcciones IP tomadas al azar a una unidad R. Si eso se logra, es decir si alguna de esas direcciones pertenece a sistemas de Windows que comparten sus recursos a la red, entonces se copia a si mismo a la carpeta de inicio de la unidad mapeada.

También es capaz de deshabilitar la configuración de los niveles de seguridad de Office 2000, haciéndolo vulnerable a virus de macros.

Cuando el troyano se ejecuta, crea una copia de si mismo en la unidad C:

C:\Rainbow.vbs

También realiza los siguientes cambios al registro:

HKCU\Software\Microsoft\Office\9.0\Word\Security
Level = 1

HKLM\Software\Microsoft\Windows\CurrentVersion\Network
Installed = 1

Agrega la siguiente clave al registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\Rainbow
Path = C:\

También modifica estos valores:

HKLM\System\CurrentControlSet\Services\VxD\VNETSUP
ComputerName = Rainbow

HKLM\System\CurrentControlSet\Services\VxD\VNETSUP\FileSharing
FileSharing = Yes

HKCR\VBSFile\
NeverShowExt = 1

El gusano también crea un log de las direcciones IP de las computadoras a las que se ha copiado:

C:\Rainbow.txt

En este punto el archivo C:\Network.vbs es borrado por el gusano, si este archivo existe (virus Network.vbs).

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS


Para remover el gusano de un sistema infectado


Luego de ejecutar uno o dos antivirus actualizados, siga estos pasos para restablecer los cambios hechos al registro por el gusano:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Office
9.0
Word
Security

3. Pinche sobre la carpeta "Security". En el panel de la derecha debería ver algo como:

Level

4. Pinche sobre el nombre "Level" y en Información del valor, ingrese "2" o "3" sin las comillas. Acepte los cambios.

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Network

6. Pinche sobre la carpeta "Network". En el panel de la derecha debería ver algo como:

Installed

7. Pinche sobre el nombre "Installed" y en Información del valor, borre el número que aparece (déjelo vacío). Acepte los cambios.

8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Network
LanMan
Rainbow

9. Pinche sobre la carpeta "Rainbow" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

10. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
System
CurrentControlSet
Services
VxD
VNETSUP

11. Pinche sobre la carpeta "VNETSUP". En el panel de la derecha debería ver algo como:

ComputerName

12. Pinche sobre el nombre "ComputerName" y en Información del valor, ponga el nombre que usa para su computadora (si ignora esto, ignore este punto y siga con el siguiente). Acepte los cambios en caso contrario.

13. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
System
CurrentControlSet
Services
VxD
VNETSUP
FileSharing

14. Pinche sobre la carpeta "FileSharing". En el panel de la derecha debería ver algo como:

FileSharing

15. Pinche sobre el nombre "FileSharing" y en Información del valor, ponga "Yes" para compartir recursos, o "No" para no hacerlo. Se sugiere "No". Acepte los cambios.

16. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
VBSFile

17. Pinche sobre la carpeta "VBSFile". En el panel de la derecha debería ver algo como:

NeverShowExt

18. Pinche sobre el nombre "NeverShowExt" y en Información del valor, ponga "0" (cero, sin las comillas). Acepte los cambios.


Deshabilitar "Compartir archivos e impresoras"

Si tenemos instalado el servicio "Compartir impresoras y archivos para redes Microsoft" en la configuración de redes (Windows 95, 98 y Me), y lo tenemos enlazado a los protocolos TCP/IP, los usuarios externos podrían tener acceso a nuestro PC (en esto se basa el método de propagación de este virus).

Sin embargo, si utilizamos una red, esta opción podría ser necesaria, para compartir recursos con las otras computadoras.

Si usted no tiene una red, directamente no necesita este servicio. La recomendación por lo tanto es quitarlo.

Si usted tiene una red, lo aconsejable es no enlazar estos recursos a los protocolos TCP/IP.

Estos son los pasos a dar:

1. Desde Mi PC, Panel de control, pinche en "Red".

2. Seleccione la opción TCP/IP -> Adaptador de acceso telefónico a redes, pinche en Propiedades, y seleccione en "Propiedades de TCP/IP" la lengüeta "Enlaces". Desmarque la casilla "Compartir impresoras y archivos para redes Microsoft". Pulse en Aceptar y acepte los cambios.

3. Reinicie la computadora.

Esto desactiva la posibilidad de acceder a los recursos compartidos desde Internet. Sin embargo, los usuarios que utilicen cable módem o conexiones DSL, deben realizar este otro tipo de configuración:

1. Desde Mi PC, Panel de control, pinche en "Red".

2. Seleccione la opción TCP/IP -> Adaptador de tarjeta de red (o similar), pinche en Propiedades, y seleccione la lengüeta "Enlaces". Desmarque la casilla "Compartir impresoras y archivos para redes Microsoft". Pulse en Aceptar y acepte los cambios.

3. Reinicie su computadora.

Luego, instale NetBEUI.

4. Desde Mi PC, Panel de control, pinche en "Red".

5. Pulse en el botón "Agregar", seleccione "Protocolo", Agregar, "Microsoft" y seleccione "NetBEUI".

6. Pulse en Aceptar y reinicie su computadora.

Estos procedimientos deben repetirse en todas las computadoras que necesitan compartir archivos u obtener acceso a los archivos compartidos pero cuyo adaptador queda expuesto a Internet.

Otra solución dada por Microsoft, es instalar la "Conexión Compartida a Internet" (disponible en Windows 98 SE y Me) que proporciona la protección adecuada. La conexión compartida a Internet solo debe instalarse en la computadora que se conecta a Internet. Las demás computadoras se conectarán a esta a través de una red.


Para instalar la Conexión Compartida a Internet


1. Vaya a Mi PC, Panel de control, Agregar o quitar programas.

2. Pinche en Instalación de Windows, Comunicaciones, seleccione "Conexión compartida a Internet", Aceptar, y siga las instrucciones de instalación. Se generará un disquete que usted deberá instalar en las otras computadoras de la red, las que no es necesario tengan Windows 98 SE o Me para funcionar.


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS