Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Rokol.A. Asunto: I feel sick today!!!
 
VSantivirus No. 774 - Año 6 - Miércoles 21 de agosto de 2002

 VBS/Rokol.A. Asunto: I feel sick today!!!
http://www.vsantivirus.com/rokol-a.htm

Nombre: VBS/Rokol.A
Tipo: Gusano de Visual Basic Script
Alias: VBS_ROKOL.A, ROKOL.A, ROKOL
Fecha: 19/ago/02
Plataforma: Windows 32-bits
Tamaño: 5,592 bytes

Este gusano escrito en Visual Basic Script, se propaga en un mensaje con las siguientes características:

Asunto: I feel sick today!!!
 Texto: I am ORLOK.

Cuando se ejecuta, el script libera el archivo ORLOK.VBS en la carpeta System de Windows:

C:\Windows\System\ORLOK.vbs

En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

El gusano también crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de la computadora infectada:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ORLOK = "wscript.exe C:\Windows\System\ORLOK.vbs"

También examina si existe la siguiente entrada:

HKEY_CURRENT_USER\software\ORLOK\mailed

Si este valor (mailed) no existe, el gusano se vale de rutinas MAPI (Mail Application Programming Interface), para enviarse en una copia del mensaje infectado visto al principio, a toda la lista de usuarios de la libreta de direcciones de Outlook y Outlook Express.

Luego de enviarse una vez, crea la siguiente entrada en el registro:

HKEY_CURRENT_USER\software\ORLOK
mailed = 1

Esto hará que la próxima vez que se ejecute, no proceda a enviarse nuevamente vía e-mail.

Después de ello, busca la existencia del archivo MANGE.COM en el directorio System de Windows. En caso de no encontrarlo, modifica la página de inicio del Internet Explorer, por la siguiente:

http:\\membres.lycos.fr\[xxx]\mange.com

Esto ocasiona que al abrirse el IE estando conectado a Internet, se produzca la descarga del archivo MANGE.COM a la computadora infectada.

Si el archivo MANGE.COM ya existe, el gusano lo copia en la carpeta System de Windows:

C:\Windows\System\MANGE.Com

El contenido de MANGE.COM puede ser modificado por el autor del gusano, por lo que siempre se podría descargar actualizaciones del mismo.

El gusano sobrescribe luego, todos los archivos con extensiones .VBS y .VBE en el directorio raíz de cada unidad de disco. También ejecuta en forma continua el archivo NOTEPAD.EXE (bloc de notas de Windows), lo que puede ocasionar el bloqueo del sistema por falta de recursos en caso de no detenerse este proceso. Esto ocasiona la perdida de información que aún no haya sido grabada.

El código del gusano contiene el siguiente texto:

I am Orlok
Orlok.08052002


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la siguiente:

WSCRIPT

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

ORLOK

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\software
\ORLOK

5. Pinche en la carpeta "ORLOK" y bórrela con la tecla SUPR o DEL.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Actualice sus antivirus y realice un escaneo de sus discos, borrando los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.

9. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".

10. Actualice su Internet Explorer según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS02-023)
http://www.vsantivirus.com/vulms02-023.htm


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS