Asunto: this e-card for you. (WWW.é-card.com)
Cuerpo del mensaje: (vacío)
Nombre del archivo adjunto: e-card.vbs (50 Kb)

Este mensaje, puede llevar a confundir a muchos usuarios, debido a que existe un HOAX (ver VSantivirus No. 129 - Año 4 - Martes 14 de noviembre de 2000, Hoax: Una tarjeta virtual para Usted.), que justamente advierte sobre la existencia de un virus altamente destructivo enviado por correo en una supuesta tarjeta virtual.

Este gusano, no posee rutinas destructivas, salvo su capacidad de reproducirse, causando una sobrecarga en los servidores de correo, y la gran cantidad de archivos que genera en la computadora infectada.

Cuando se abre el adjunto (doble clic sobre E-CARD.VBS), el virus modifica la siguiente rama del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Predeterminado) = c:\e-card.vbs

Esto hará que el gusano se ejecute como un servicio (oculto al pulsar CTRL+ALT+SUPR en la lista de tareas), en cada reinicio de Windows.

También modifica la página de inicio del Internet Explorer a una situada en Geocities. Esta página ha sido retirada del servidor.

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados. El virus genera una gran cantidad de archivos. A continuación se indicará como remover la mayoría de ellos, pero esto no asegura que todos sean borrados, aunque si la mayoría.

Utilice el Explorador de Windows para buscar y borrar los siguientes archivos (algunos de ellos ya podrían haber sido borrados por el antivirus):

C:\scandz.DII
C:\Msd32.dat
C:\Windows\jscode.dll
C:\Windows\e-card.js
C:\Windows\sexmovie.js
C:\Windows\pamela.js
C:\Windows\playboygirl.js
C:\Windows\passwords.js
C:\Windows\e-card.HTML
C:\Windows\sexmovielink.HTML
C:\Windows\photosalbum.HTML
C:\Windows\hacklink.HTML
C:\Windows\antiviruslink.HTML
C:\Windows\HiDDEN-Microsoft-TEAM.htm
C:\Windows\Start Menu\Programs\StartUp\e-card.vbs
C:\Windows\desktop\passwords.vbs
C:\Windows\desktop\e-card.vbs
C:\Windows\desktop\pamela.vbs
C:\Windows\System\Winshell.vbs
C:\Windows\Winsys.vbs
C:\Windows\lnternat.dII
C:\Windows\E-card.vbs
C:\Windows\E-card.mpg.vbs
C:\Windows\Web-passwords.vbs
C:\Windows\magazine.vbs
C:\Windows\pamela.mpg
C:\Windows\Temp\br3ak.vbs
C:\Windows\htmickode.txt
C:\Windows\br3ak-h3art.txt-

Utilice la búsqueda de Windows para borrar los siguientes archivos, debido a que los mismos se crearán en diferentes ubicaciones del disco:

1. Pinche en Inicio, Buscar, Archivos o carpetas.

2. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

3. En la casilla "Nombre" escriba (o "corte y pegue") lo siguiente:

server.exe.vbs,  crack.vbs,  e-card.zip,  *.UUE,  mirc.dll

4. Pinche en "Buscar ahora".

5. Si aparecen alguno de estos archivos, márquelos.

6. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado de cada uno.

7. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

Para limpiar el registro, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

3. Pinche sobre la carpeta "RunServices". En el panel de la derecha debería ver algo como:

(Predeterminado)        "c:\e-card.vbs"

4. Pinche sobre el nombre "(Predeterminado)" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave. Luego de ello, debería aparecer lo siguiente de inmediato:

(Predeterminado)        "(valor no establecido)"

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Fuente: Symantec AntiVirus Research Center (SARC)

Ver también:
14/nov/00 - Hoax: UM CARTÃO VIRTUAL PRA VC. Una tarjeta virtual para Usted