Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/SST.A (Kournikova). Nueva versión del LoveLetter
 
VSantivirus No. 220 - Año 5 - Martes 13 de febrero de 2001

VBS/SST.A (Kournikova). Nueva versión del LoveLetter
http://www.vsantivirus.com/sst-a.htm

  Nombre: VBS/SST-A (Kalamar)
  Tipo: Gusano de Visual Basic Script
  Fecha: 12/feb/01
  Tamaño: 2 Kb aprox.
Alias: Calamar.A
Calamar
OnTheFly
Anna Kournikova
VBS/SST-A
VBS.VBSWG.J
VBSWG.J
VBS.VB.generic
VBS/VBSWG.S@mm.Worm
SST
I-Worm.Lee.o
VBS/SST
VBS/Anna
VBS/Kalamar
VBS_Kalamar.a

Podría catalogarse de una simple variante más del LoveLetter (o ILOVEYOU). No posee características destructivas, y utiliza la doble extensión para camuflarse.

Sin embargo, en pocas horas este virus ha ocasionado innumerables reportes e incidencias, en casi todo el mundo.

Llega a nuestra casilla de e-mail, en un mensaje con estas características:

Asunto: Here you have, ;0)
Texto: Hi: Check This!
Archivo adjunto: AnnaKournikova.jpg.vbs [o AnnaKour.vbs]

Algunos reportes indicarían que su autor es un hacker argentino llamado "Kalamar".

Está creado con una utilidad de creación de virus (Virus Construction Kit o VBSWG). Esto significa también que el nombre del archivo adjunto y el propio texto puedan variar en próximas versiones. Recuerde JAMAS abra archivos adjuntos no solicitados (Vea: VSantivirus No. 219 - Año 5 - Lunes 12 de febrero de 2001, San Valentín y los virus. Consejos para todo el año).

Debido a la doble extensión (.JPG.VBS), muchos usuarios no notarán que se trata de un archivo VBS (un script de Visual Basic, ejecutable si la computadora tiene instalado el Windows Scripting Host), y creyendo se trata de una imagen de la famosa tenista rusa Anna Kournikova, simplemente pincharán en el adjunto, iniciando la infección.

En las últimas horas, se ha propagado masivamente, poniendo en peligro muchos servidores de correo del mundo, debido a la sobrecarga que significa la enorme cantidad de mensajes enviados. Es que la infección provoca que cada usuario que pincha sobre esa supuesta imagen, envíe sin saberlo, el mismo mensaje y el mismo archivo adjunto, a todos los contactos de su libreta de direcciones.

Luego del envío, no quedarán rastros en el Outlook o Outlook Express. Es que el virus se encargará además de borrar todos sus mensajes de la carpeta de Elementos enviados.

Cómo funciona

Cuando se pincha sobre el adjunto, el virus crea la siguiente clave en el registro:

HKEY_CURRENT_USER\software\
OnTheFly = Worm made with Vbswg 1.50b

Crea luego un objeto (usando Windows Scripting Host) llamado scripting.filesystemobject. Usándolo, el virus se copia a si mismo a la carpeta donde resida Windows, por ejemplo:

C:\WINDOWS\AnnaKournikova.jpg.vbs

Luego, el virus crea esta otra clave del registro:

HKEY_CURRENT_USER\software\OnTheFly
mailed = 

Si la fecha del sistema es 26 de enero de cualquier año, el virus lanza el navegador de Internet instalado en la computadora infectada, abriendo la página del sitio holandés, www.dynabyte.nl.

Cada vez que el virus se ejecuta (doble clic sobre el adjunto), crea una copia en la memoria, y entra en un bucle sin fin, chequeando cada cierto tiempo si ya existe una copia de él en el sistema.

El gusano posee una rutina que intenta volverse a crear a si mismo (mientras está en memoria), si es borrado del disco. Pero un error en su código hace que solo se genere un archivo de cero bytes de longitud.

Estando en memoria, y en el caso que la clave del registro mencionada antes, no contenga el valor "1", el virus abre el Outlook (o Outlook Express), y utilizando las funciones MAPI obtiene todas los contactos de la libreta de direcciones de esa máquina.

Por cada dirección, crea un mensaje idéntico al recibido, y se envía con el mismo adjunto, o sea el propio virus.

Luego pone el valor de "mailed" a "1", para no volver a reenviarse:

HKEY_CURRENT_USER\software\OnTheFly
mailed = 1

Para removerlo del sistema

Utilice un antivirus para identificarlo.

Borre todos los archivos mencionados como infectados.

Si existe, borre también el archivo de cero bytes con el mismo nombre del virus.

Borre del registro (usando REGEDIT), las siguientes claves:

HKEY_CURRENT_USER\Software\OnTheFly
HKEY_CURRENT_USER\Software\OnTheFly\mailed
 

Existe también una utilidad de BitDefender, que quita el virus del sistema automáticamente. Puede bajar este archivo desde nuestro enlace a 'Antivirus o protecciones específicas'

Simplemente ejecútelo para eliminar el gusano.

El virus contiene en su código, los siguientes textos, que no son mostrados:

Vbs.OnTheFly Created By OnTheFly

y

Vbswg 1.50b 

Para prevenir infectarse con este tipo de virus, recomendamos seguir los consejos dados en el artículo "San Valentín y los virus. Consejos para todo el año" de la sección "Artículos de nuestro sitio", o de nuestro boletín "VSantivirus No. 219 - Año 5 - Lunes 12 de febrero de 2001".


Modificaciones:
3/jul/02 - Nuevo enlace para herramienta 'sst_fix.exe'
3/jul/02 - Corrección de nombre y alias: VBS/SST.A (Kournikova)



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS