|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
Nuevo virus de VBS que
contiene rutinas destructivas.
Nombre de virus: VBS/VBSWG.gen
@ mm
Alias conocidos: W32/SHAKIRA,
VBS/VBSWG/aq VBS/VBWG/AN, VBS/LEE
Riesgo Infección: ALTO (Bajo,
Medio, Alto, Muy Alto)
Activación: Por
ejecución del fichero gusano anexado al mail.
Propagación: Por
autoenvío de e-mails infectados a todas las direcciones de Outlook.
Detección: desde DATS
4205
Motor necesario: desde 4.0.70
Infección actual: Media (Inicial, Media, Elevada)
Son varios los casos detectados por nuestros usuarios de repeción de e-mails infectados con este virus, razón por la que aunque se trata de uno más realizado con la herramienta de creación de virus VBS WORM GENERATOR (VBSWG), hemos analizado las muestras recibidas y ofrecemos documentación ampliada respecto a la que ofrece NAI en la librería de virus.
El virus llega en un mail con las siguientes características:
Asunto: Shakiras Pictures
Texo: Hi,
I have sent the photos via attachment
have funn...
Anexo: ShakiraPics.jpg.vbs
Como es acostumbrado en este tipo de virus, el fichero anexo tiene doble extensión, la primera para despistar, siendo la que se ve normalmente desde entorno Windows, y la segunda, la real, que es la que ejecuta Windows.
Este virus se propaga mediante el autoenvío de e-mails con fichero anexado, a todas las direcciones de la libretas de Outlook, y además sobreescribe el fichero C:\MIRC\Script.ini si existe, para propagar el virus por los canales de chat, también copia el gusano en el directorio C:Windows y crea una clave en el registro de sistema que abrirá dicho gusano con el WSCRIPT.EXE, en cada reinicio del sistema. Dicha clave se elimina con doble click sobre nuestra utilidad UNDO34.REG, con lo que se evitará la apertura del WSCRIPT.EXE en cada reinicio, tras haber eliminado el virus
Como daño, este virus sobreescribe todos los ficheros que encuentra tipo VBS y VBE, implántandoles el propio gusano, por lo que dichos ficheros deberán ser eliminados por el antivirus, y posteriormente restaurados desde una copia de seguridad sin virus, o programas originales
Todos los virus de VBS se evita que sean ejecutados con doble click, si se protegen los ordenadores con la utilidad VBSFIX.EXE, simplemente por ejecutarla, lo cual crea una clave en el registro que impide la apertura de los VBS a través de doble click sobre el icono de los ficheros VBS. Si tras ello se desea ejecutar un VBS expresamente, se podrá hacer pulsando Botón derecho y Abrir. Recomendamos tener aplicada esta utilidad en todos los equipos, para así poder evitar la ejecución de los virus .VBS tanto conocidos como desconocidos.
Este virus se controla desde DATS 4205 y engine 4.0.70, la utilidad UNDO34 se puede descargar de nuestra web, www.satinfo.es
A título de comentario, este virus viene encriptado como acostumbra dicho generador de virus, y al final firma Vbswg 1.1 [K]Alamar, identificador del programa generador, y en otro virus más reciente que controlaremos con los próximos DAT como VBS/CHICK.f
Aparece el supuesto autor Kiasanagui, quien indica ser el autor también del que detallamos en este artículo, Shakira, VBS/VBSWG.aq@mm
SATINFO, VIRUSCAN SPAIN SERVICE 12 de Junio de 2002