|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
Nueva variante del virus VBS/LoveLetter
Nombre de virus : VBS/Newlove.a
Alias conocidos :
Peligrosidad :Alta (Baja, Alta, Muy Alta)
Activación : por ejecución de fichero infectado
Propagación : por Outlook
Detección : Extra.DAT o DAT 4080 (o superior)
Motor necesario : Engine 4.0.70 o superior
Infección actual : Inicial (Inicial, Media, Elevada)
*Nota: Después del aplicar el EXTRA.DAT o 40??.DAT correspondiente, asegúrese que la extensión .VB? se incluya cuando explore en buca de virus.*
Se trata de un gusano VBScript.
La primera vez que se ejecuta el gusano, descarga una copia de sí mismo en la carpeta Windows dándole el nombre de un documento de la carpeta Recent Documents o un Nombre aleatorio, y tiene una extensión aleatoria escogida de entre Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt y la extensión real, ".vbs" El gusano modificará esa copia añadiendo comentarios aleatorios a su cuerpo.
Modifica las siguientes claves de registro:
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"
y
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\"
para ejecutar la copia en la carpeta Windows
Este gusano llegará en un mensaje de correo electrónico con este formato:
Subject: Comienza con "FW: " y puede ser un nombre escogido de la carpeta Recent Documents o un nombre aleatorio
Mensaje: Vacío
Attachment: Es el nombre de fichero VBS
seleccionado aleatoriamente de la carpeta Windows
Si el usuario ejecuta el fichero asociado, el
gusano utiliza el programa Windows Scripting Host. Este normalmente no está presente en
Windows 95 o Windows NT a menos que se instale Internet Explorer 5.
El gusano utiliza Microsoft Outlook para enviar copias de sí mismo a todas las entradas dela libreta de direcciones.
Este gusano busca todas las unidades conectadas al sistema y reeemplaza todos los ficheros con copias de sí mismo, y añade la extensión .VBS al fichero original. Por ejemplo, PICT.JPG seria reemplazado por PICT.JPG.VBS y este contendria el gusano. El fichero original se borra.
No reemplaza todos los fichero con su código - debido a un bug, los ficheros que crea en lugar de los originales tienen una longitud de 0-bytes.
Falla la escritura del código vírico
dentro de estos.
Indicaciones de Infección
Existencia de los ficheros mencionados
anteriormente, ficheros reemplazados como se comenta anteriomente.
Propagación por e-mail como se describe
anteriormente.
Método de Infección
Este virus se ejecutará si está instalado Windows Scripting Host.
Ejecutado el adjunto al mensaje de correo
recibido, ya sea de manera accidental o intencionada, el gusano se instalará en el
sistema local.
SATINFO, VIRUSCAN SPAIN
SERVICE
L.14.5.00
SATINFO, VIRUSCAN SPAIN SERVICE