Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Vbswg-V (Cindy). Apela a un mensaje pornográfico
 
VSantivirus No. 263 - Año 5 - Miércoles 28 de marzo de 2001

Nombre: VBS/VBSWG-V
Tipo: Gusano de Visual Basic Script
Fecha: 27/mar/01
Alias: VBS.Cindy.Worm
Activo: Si

Es otro virus realizado con la utilidad Vbswg 1.5 (VBS Worm Generator). Este gusano, de código encriptado, utiliza el Outlook y los clientes de chat mIRC y Pirch para propagarse.

El virus llega a nuestra casilla electrónica, con un adjunto llamado "Cindy12yr.vbs", en un mensaje con el siguiente asunto: "Check out this preteen pic!!".

El cuerpo del mensaje contiene un texto pornográfico. Esta es la característica del mensaje:

Asunto: Check out this preteen pic!!

Texto:
 Hey here is a great preteen pic. She is 12 years old totally bald pussy!

Archivo adjunto: Cindy12yr.vbs

Si hacemos doble clic sobre el adjunto, su código (Visual Basic Script), se ejecutará. Esto no ocurrirá si no tenemos activo el Windows Scripting Host en nuestra computadora.

El gusano se copiará a si mismo a la carpeta SYSTEM de Windows:

C:\WINDOWS\System\Cindy12yr.vbs

Luego modifica el registro para ejecutar este archivo en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
win32run = Cindy12yr.vbs

También se agregan tres nuevos valores al registro, los que son usados por el código del gusano para controlar su envío masivo:

HKCU\software\Cindy\mailed
HKCU\software\Cindy\mirqued
HKCU\software\Cindy\pirched

Si el valor "mailed" es diferente a 1, el gusano genera mensajes individuales, similares al recibido anteriormente, y los envía a todos los contactos de la libreta de direcciones del Outlook. Luego, pone a "1" el valor "mailed".

Si el programa mIRC está instalado en el sistema infectado, el gusano libera una copia del archivo SCRIPT.INI, con las instrucciones necesarias para propagarse a través de los canales de chat cada vez que el usuario se conecte a uno. Además, el valor "mirqued" es puesto a "1".

Si está instalado el Pirch, el gusano libera el archivo EVENTS.INI, archivo de configuración similar al SCRIPT.INI del mIRC, con lo que podrá propagarse a través de los canales de chat visitados. El valor "pirched" en el registro, es puesto a "1".

El gusano busca en todas las unidades de disco accesibles desde la PC infectada, archivos con la extensión "VBS" y "VBE". Cada vez que los encuentra, los sobreescribe con su propio código, haciendo imposible su recuperación (salvo que se recurra a un respaldo).

El gusano muestra un mensaje de error falso, para esconder su actividad,

VBScript

Error Decompressing JPEG Picture

[    OK    ]

El virus contiene el siguiente texto en su código:

Vbs.Cindy Created By PROMETHEUS

Para eliminar el virus de un sistema infectado, borre la clave "win32run = Cindy12yr.vbs" de:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Luego reinicie y ejecute uno o más antivirus al día para revisar su PC. Borre los archivos marcados como virus.

Fuentes: Network Associates, Computer Associates

Vea también:
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS
18/feb/01 - Vbswg.gen. Generador de gusanos de Visual Basic Scripts
14/mar/01 - VBS.Vbswg2.gen. Nueva versión del generador de gusanos

  

Copyright 1996-2001 Video Soft BBS