Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Sealug. Asunto: En Sevdigin. Adjunto: En_Sevdigin.vbs
 
VSantivirus No. 756 - Año 6 - Sábado 3 de agosto de 2002

 VBS/Sealug. Asunto: En Sevdigin. Adjunto: En_Sevdigin.vbs
http://www.vsantivirus.com/sealug.htm

Nombre: VBS/Sealug
Tipo: Gusano de Visual Basic Script
Alias: VBS.Sealug@mm
Fecha: 1/ago/02
Tamaño: 4,631 bytes
Plataformas: Windows 32-bits

Escrito en Visual Basic Script, este gusano se envía a si mismo a todos los contactos de la libreta de direcciones del Outlook. También cambia la página de inicio del Internet Explorer por la dirección http://www.1agustos.com y también intenta obligar a los usuarios de los canales de IRC a abrir dicho sitio.

El mensaje tiene estas características:

Asunto: En Sevdigin

 Texto:
Hayat yasandigi kadardir. Ötesi ya hatiralarda
bir iz, ya da hayallerde bir umuttur. Hüsrani
ise bir tek yerde kabul edebilirim: O da yasamaya
olanak varken yasayamamis olmaktir.

 Datos adjuntos: En_Sevdigin.vbs

Cuando el usuario hace doble clic sobre este adjunto, el gusano se ejecuta, enviándose a todos los contactos de la libreta de direcciones.

Después del envío, el gusano muestra dos ventanas con extensos mensajes en el mismo idioma del e-mail recibido y el título 'VBScript: Forever Love' en ambas.

El gusano se copia luego en las siguientes ubicaciones:

C:\En_Sevdigin.vbs
C:\Windows\En_Sevdigin.vbs
C:\Windows\System\En_Sevdigin.vbs

'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

Luego, el gusano busca los siguientes archivos en todas las unidades de disco locales y de red:

Mirc32.exe 
Mlink32.exe 
Mirc.ini 
Script.ini 
Mirc.hlp

Si encuentra alguno de ellos, asume la existencia del cliente de IRC mIRC, y crea un archivo SCRIPT.INI en la misma carpeta. Este archivo contiene los comandos para enviar las instrucciones que obliguen a otros usuarios de los canales de IRC frecuentados por la víctima infectada, visitar al sitio http://www.1agustos.com.

Finalmente, el gusano cambia la página de inicio del Internet Explorer por esta misma dirección, cambiando la siguiente clave del registro:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page = http://www.1agustos.com

Para eliminar el virus de un sistema infectado

1. Ejecute uno o más antivirus al día y borre los archivos detectados como infectados.

C:\En_Sevdigin.vbs
C:\Windows\En_Sevdigin.vbs
C:\Windows\System\En_Sevdigin.vbs

2. Borre el archivo SCRIPT.INI en la carpeta del mIRC si dicho programa está instalado en su computadora.

3. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Glosario:

Windows Scripting Host (WSH). Es un interprete de Java Script y de Visual Basic Script, que puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus en dichos lenguajes. Está instalado por defecto en Windows 98 y posteriores.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS