SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Nombre de virus: VBS/Jolin@MM
Alias conocidos: VBS.Jolin@mm, VBS/Niloj-A
Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: Por ejecución de fichero .VBS
infectado
Propagación: Libreta de direcciones de Outlook, IRC y disquetes
Detección: DATS 4146
Motor necesario: 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)
Se trata de un gusano mass-mailing que se envía a la libreta de direcciones de Outlook del siguiente modo:
Una vez se ejecuta el fichero adjunto (!!jolin_caught_naked!!!!.jpg.vbs), aparece un mensaje con el título "Jolin Install", que dice:
This will installs all the horny contents of Jolin.
The contents will be installed in this folder:
%WinDir%\JOLIN_NAKED_SECRET_FOLDER\
All contents will be kept in a secret folder.
To prevent your mother from seeing it. gee~
El virus se copia como "!!jolin_caught_naked!!!!.jpg.vbs" en los directorios WINDOWS y WINDOWS/SYSTEM y modifica el registro de sistema del siguiente modo para ejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MicrosoftUpdate=%SysDir%\!!jolin_caught_naked!!!!.jpg.vbs
A continuación, el gusano se copia en la carpeta 'Mis Documentos' con el nombre de ficheros que encuentre con las siguientes extensiones: .EXE, . MP3, .MPEG, y .ZIP, y añadiendo la extensión .VBS (p.e. SONIDO.MP3.VBS). Los ficheros originales se borran. El virus también borra todos los .DLL, .EXE e .INF de \Windows\System.
Igualmente, intenta sobreescribir el fichero SCRIPT.INI de mIRC con instrucciones para enviarse a usuarios de IRC cuando estos entren en un canal donde esté el usuario infectado.
Por otro lado, intenta copiarse a disquetes.
Eliminación
Utilizar motor mínimo 4.0.70 y DATS min. 4146 para su detección y eliminación.
SATINFO, VIRUSCAN SPAIN SERVICE 11-07-2001
