nuevo y destructivo vbs con envío de e-mail a 80 direcciones Outlook

(Como ya hemos indicado otras veces, se evitan ejecutando VBSFIX.EXE)

Nombre de virus: VBS/PLEH @ MM

Alias conocidos: VBS.Pleh.A

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Envía e-mail a 80 direcciones Outlook y sobreescribe ficheros

Infección: Por ejecución fichero HELP.VBS anexado al email recibido

Detección: DATS 4132

Motor necesario: engine 4.0.70

Infección actual: Inicial (Inicial, Media, Elevada)

Nuevo virus peligroso por sobreescribir todos los ficheros (no recuperables) con extensiones .AVI, .DOC, .EXE, HTM, .MP2, .MP3, .MPEG y .PWD de todos los discos duros locales y unidades mapeadas de Red.

Se recibe en un fichero HELP.VBS anexado a un e-mail, enviado por un ordenador infectado, que tiene, entre las primeras 80 direcciones de la libreta del Outlook, la dirección del ordenador en el que se recibe el mail.

El e-mail presenta el siguiente formato:

Asunto : I hate you

Cuerpo : I think that you must see this file, i insist.

Anexo : HELP.VBS

Al ejecutar el HELP.VBS presenta un mensaje : Read Youmustread.txt file :)

Y además de sobreescribir los ficheros indicados, hace una copia de sí mismo como HELP.VBS en el directorio de Windows, y como KERNEL.VBS en el de sistema. Luego carga su ejecución en el registro de sistema y en el Win.ini.

El fichero YOUMUSTREAD.TXT lo crea en el subdirectorio LOOK HERE dentro del directorio de Windows. En él se lee: "Hello! It so pity that i cant look at your face now, and do you know why, because your machine was infected by Lynx [RAtm].Worm. Regards from Od"

También borra en fichero Logos.sys del directorio Windows (que contiene la pantalla de "AHORA PUEDE APAGAR EL EQUIPO", cuando se cierra Windows) y, un 8 % de las veces, sobreescribe el AUTOEXEC.BAT por otro que contiene la instrucción FORMAT C:

SATINFO, VIRUSCAN SPAIN SERVICE 17-4-01

Anterior