Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS.Zeta.A@mm. Foto porno que borra todos los .VBS y .VBE
 
VSantivirus No. 291 - Año 5 - Miércoles 25 de abril de 2001

Nombre: VBS.Zeta.A@mm
Tipo: Gusano de Visual Basic Script
Fecha: 19/abr/01

Este gusano puede propagarse a través del correo electrónico (Microsoft Outlook), y de los canales de chat (mIRC).

Es capaz de sobrescribir todos los archivos .VBS y .VBE del disco, con una copia de si mismo.

Cuando el gusano se ejecuta, se producen las siguientes acciones:

Se copia a si mismo a la carpeta "C:\Windows\System" como "FotoPorno2.jpg.vbs".

Busca la existencia del cliente de IRC, mIRC. Si lo encuentra, sobrescribe el archivo "Script.ini" en la carpeta del mIRC para enviarse a si mismo cada vez que el usuario se conecta a un canal de chat.

Luego, envía un mensaje a todos los contactos de la libreta de direcciones del Microsoft Outlook

El mensaje enviado (igual al recibido que provocó la infección en la máquina atacada), es el siguiente:

Asunto: Ecco la foto porno da te richiesta

Texto:
Ciao! Nell'allegato trovi la foto porno da te richiesta.
Buona visione lo staff di FIGA.it
Per qualsiasi domanda non esitare a contattarci:
zetabait@hushmail.com

Archivo adjunto: FotoPorno2.jpg.vbs

Luego busca todos los archivos .VBS y .VBE en todas las unidades de disco físicas o mapeadas en red, y entonces las sobrescribe copiándose su propio código en estos archivos. Esto hace imposible su recuperación, salvo que se realice desde una copia de respaldo o una reinstalación.

También agrega la siguiente clave al registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ZetaBait=wscript.exe C;\Windows\System\FotoPorno2.jpg.vbs %

Esto hace que se ejecute automáticamente en cada reinicio de la computadora.

Para remover el virus de un sistema infectado, se debe ejecutar un antivirus al día para borrar los archivos afectados.

Luego, ejecute la utilidad REGEDIT para modificar el registro de Windows.

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

2. Busque la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

3. Pinche en "Run" y en la ventana de la derecha, borre la siguiente clave:

"ZetaBait" "wscript.exe C:\Windows\System\FotoPorno2.jpg.vbs %"

4. En el panel de la izquierda, busque la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
ITCG Worm

5. Pinche sobre la carpeta "ITCG Worm" y pulse SUPR o DELETE para borrarla.

6. Salga del editor desde Archivo, Salir.

Fuente: Symantec


Vea también:
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS

 

Copyright 1996-2001 Video Soft BBS