VSantivirus No. 884 - Año 7 - Domingo 8 de diciembre de 2002
JS/Veren.A. Se propaga a través del e-mail y de redes
http://www.vsantivirus.com/veren-a.htm
Nombre: JS/Veren.A
Tipo: Gusano de JavaScript
Alias: JS_VEREN.A, I-Worm.Nevezed, Never, Nevezed
Plataforma: Windows 32-bits
Tamaño: 3,691 bytes
Fecha: 7/dic/02
Este código en JavaScript se comporta como un gusano, y es capaz de ejecutarse en todas las versiones de Windows. Utiliza aplicaciones MAPI (Mail Application Program Interface) para propagarse a través del correo electrónico y de recursos compartidos en redes.
El mensaje que lo propaga tiene estas características:
Una de las siguientes líneas como "Asunto:":
[dirección]!
Fwd: Check this out!
Fwd: Check this!
Fwd: Free Mp3s!
Fwd: Have a look!
Fwd: Here you go!
Fwd: Hey You!
Fwd: It's Free!
Fwd: Just Look
Fwd: Look!
Fwd: Loop at this!
Fwd: Read This!
Fwd: Take a look!
Hello
[dirección]!
Hey
[dirección]!
Look
[dirección]!
Donde [dirección] son direcciones electrónicas extraídas de la computadora infectada.
Además, cada mensaje contiene el siguiente texto en su cuerpo:
Hello!
Check out this great list of mp3 sites that I
included in the attachments!
I can get any Mp3 file that I want from these
sites, and its free! And please don't be greedy!
forward this email to all the people that you
consider friends, and Let them benefit from
these Mp3 sites aswell!
Enjoy!
Y como "Datos adjuntos:" uno de los siguientes nombres:
Free_Mp3s.js
Fwd_Mp3s.js
Fwd-Mp3s.js
Fwd-Sites.js
Mp3_List.js
Mp3_Pages.js
Mp3_Sites.js
Mp3_Web.js
Mp3-Fwd.js
Mp3-Sites.js
Web_Mp3s.js
El gusano busca unidades de red compartidas y se copia a si mismo como
"Temporary.js" en cada unidad encontrada.
Cuando el gusano se instala en la computadora, crea una copia de si mismo con el nombre de
"CmdWsh32.js" en el directorio System de Windows y como
"StartUp.js" en el directorio de inicio:
C:\Windows\System\CmdWsh32.js
C:\WINDOWS\Menú Inicio\Programas\Inicio\StartUp.js
"C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
El gusano también crea alguna de las siguientes entradas en el registro con lo que logra autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
JSCmd32 = "Wscript.exe C:\Windows\System\CmdWsh32.js %1"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
JSCmd32 = "Wscript.exe C:\Windows\System\CmdWsh32.js %1"
También se modifican las siguientes entradas:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
"Wscript.exe C:\Windows\System\CmdWsh32.js %1"
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
"Wscript.exe C:\Windows\System\CmdWsh32.js %1"
HKEY_CLASSES_ROOT\scrfile\shell\open\command
"Wscript.exe C:\Windows\System\CmdWsh32.js %1"
HKLM\SOFTWARE\CLASSES\txtfile\shell\open\command
"Wscript.exe C:\Windows\System\CmdWsh32.js %1"
HKLM\SOFTWARE\CLASSES\JSFile\Shell\Open\Command
"Wscript.exe C:\Windows\System\CmdWsh32.js %1"
HKLM\SOFTWARE\CLASSES\scrfile\shell\open\command
"Wscript.exe C:\Windows\System\CmdWsh32.js %1"
Esto hace que cada vez que se quiera abrir un archivo
.TXT, .JS o .SCR, se ejecute antes el gusano.
El gusano crea también las siguientes entradas, con información del posible autor:
HKEY_CURRENT_USER\Software\Never
(Predeterminado) = "Never by Zed/[rRlf]"
HKEY_USERS\.DEFAULT\Software\Never
(Predeterminado) = "Never by Zed/[rRlf]"
El gusano obtiene las direcciones de envío desde recursos del equipo infectado (libreta de direcciones, etc.), y los confirma enviando paquetes de consulta del tipo GNS (Get Nearest server), para localizar y validar las direcciones en el servidor activo más cercano.
Luego del envío de los mensajes infectados (con las características descriptas al principio), el gusano borra todos los rastros de los mensajes enviados.
Reparación manual
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
JSCmd32
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:
JSCmd32
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\txtfile
\Shell
\Open
\Command
7. Pinche en la carpeta "Command" y en el panel de la derecha busque el siguiente valor:
"Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
Si existe, cámbielo por el siguiente:
"C:\WINDOWS\NOTEPAD.EXE
%1"
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\JSFile
\Shell
\Open
\Command
9. Pinche en la carpeta "Command" y en el panel de la derecha busque el siguiente valor:
"Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
Si existe, cámbielo por el siguiente:
"C:\WINDOWS\WScript.exe "%1" %*"
10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\Scrfile
\Shell
\Open
\Command
11. Pinche en la carpeta "Command" y en el panel de la derecha busque el siguiente valor:
"Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
Si existe, cámbielo por el siguiente:
""%1" /S"
12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\CLASSES
\Txtfile
\Shell
\Open
\Command
13. Pinche en la carpeta "Command" y en el panel de la derecha busque el siguiente valor:
"Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
Si existe, cámbielo por el siguiente:
"C:\WINDOWS\NOTEPAD.EXE
%1"
14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\CLASSES
\JSFile
\Shell
\Open
\Command
15. Pinche en la carpeta "Command" y en el panel de la derecha busque el siguiente valor:
"Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
Si existe, cámbielo por el siguiente:
"C:\WINDOWS\WScript.exe "%1" %*"
16. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\CLASSES
\Scrfile
\Shell
\Open
\Command
17. Pinche en la carpeta "Command" y en el panel de la derecha busque el siguiente valor:
"Wscript.exe C:\WINDOWS\SYSTEM\CmdWsh32.js %1"
Si existe, cámbielo por el siguiente:
""%1" /S"
18. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Never
19. Pinche en la carpeta "Never" y bórrela.
20. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Never
21. Pinche en la carpeta "Never" y bórrela.
22. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
23. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones
.VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
15/dic/02 - Alias: I-Worm.Nevezed, Never, Nevezed
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|