VSantivirus No. 790 - Año 6 - Viernes 6 de setiembre de 2002

VSantivirus No. 790 - Año 6 - Viernes 6 de setiembre de 2002

VSantivirus No. 790 - Año 6 - Viernes 6 de setiembre de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - ¡Peligro de virus!. El Klez.E puede borrar sus archivos
2 - W32/Hunch.H. Texto en español. Formatea el disco duro
3 - W32/Hunch.I. Texto en español. Formatea el disco duro
4 - VBS/Ednav(B,C). Asunto: System Administrator Notification
5 - VBS/Ednav.D. Se propaga a través de la red KaZaa
_____________________________________________________________

1 - ¡Peligro de virus!. El Klez.E puede borrar sus archivos
_____________________________________________________________

http://www.vsantivirus.com/06-03-02.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy

* Una rutina destructiva

El virus Klez.E posee una complicada rutina maliciosa, que
realiza un chequeo constante de la fecha del sistema (el
nombre de la versión varía por la sencilla razón que cada
fabricante de antivirus le ha dado un nombre diferente, de
ahí que por ejemplo Panda lo menciona como Klez.F).

Si el mes actual es impar (1, 3, 5, etc.) y la fecha es igual
a 6 (o sea 6 de enero, 6 de marzo, 6 de mayo, 6 de julio, 6
de setiembre, y 6 de noviembre), el gusano puede borrar todos
los archivos con extensión txt, htm, html, wab, doc, xls,
jpg, cpp, c, pas, mpg, mpeg, bak, y mp3, sobrescribiendo los
mismos con datos al azar, haciendo imposible su recuperación
(aunque en realidad no es el Klez propiamente dicho el que
causa esta destrucción, sino el ‘Elkern’, virus liberado por
el Klez en la máquina infectada).

Dentro de estas fechas, el 6 de enero y el 6 de julio, la
rutina destructiva es aún más severa, ya que borra todos los
archivos de todas las unidades de disco locales y en red.

Aun sin el borrado total de archivos del 6 de enero y 6 de
julio, la rutina destructiva de los demás días seis de meses
impares, es muy severa.

Archivos muy usados como documentos de Word (.DOC), Excel
(.XLS), música (.MP3), libretas de direcciones (.WAB),
páginas Web (.HTM) y textos (.TXT) entre otros, pueden
desaparecer totalmente de su disco duro, y de las unidades de
red compartidas. Esto es muy crítico en redes corporativas o
pequeñas empresas. Una sola computadora infectada, conectada
en red a otras, puede acabar con el trabajo de cientos de
horas de toda la empresa. Imagínese perder los respaldos de
su sitio Web, y en muchos casos, el propio sitio. Es solo un
ejemplo, de tantos que pueden darse bajo estas condiciones.

Sin embargo, en setiembre debemos cuidarnos por partida
doble, ya que existen otras versiones del Klez anteriores a
la E, que ejecutan su rutina destructiva cada 13 de
setiembre, borrando todos los archivos del duro con datos al
azar en esa fecha, en lugar de las mencionadas anteriormente.

En todos los casos, los archivos son irrecuperables, debido a
que son sobrescritos por ceros o basura, sin ninguna
referencia a la información anterior que permita su
recuperación o reparación.

* ¿VSAntivirus.com infectado?

Una de las más endiabladas rutinas de este gusano, hace que
muchos mensajes sean enviados por un usuario falso. De ese
modo, no es extraño recibir un mensaje del mismísimo
bgates@microsoft.com infectado.

Con estas características, el virus se vuelve sumamente
peligroso. Cualquier conocido puede "enviarle" un mensaje
infectado con el Klez, incluidos nosotros, sin que realmente
el mensaje haya salido de nuestras computadoras, ni estemos
infectados.

Para estar protegidos, solo nos queda desconfiar más que
nunca, de todo mensaje recién recibido, sin importar de quien
venga, y tener los parches correspondientes en nuestro
Internet Explorer y Outlook Express.

* Otras características del Klez

Cuando Klez infecta una máquina, una de sus características
es detener los procesos activos de otros virus, como el
Nimda, el Sircam, el Funlove, el CodeRed, y probablemente
también las variantes anteriores del Klez.

Uno de los textos detectados en el cuerpo del virus dice (en
inglés), algo como "intentaré lo mejor de mi parte para
proteger al usuario de maliciosos virus como Funlove, Sircam,
Nimda, CodeRed e incluso W32.Klez 1.X". Lo que demuestra el
retorcido sentido del humor del autor del virus, si tenemos
en cuenta las rutinas destructivas del propio Klez.

Aunque no hay informes comprobados, el autor del Klez podría
ser un programador asiático, aunque la referencia en su
código ("made in Asia"), no debe ser tomado como prueba
concluyente. Sin embargo, en los ambientes relacionados, poco
se ha dicho del verdadero autor, quizás temiendo las
represalias que en otros casos se han dado.

Lo cierto de todo esto, es que el Klez no solo detiene la
acción de algunos virus, sino también la de conocidos
antivirus, volviendo aún más irónico y malicioso, la proclama
antiviral que mencionábamos.

Productos como Norton, Mcafee, F-Secure, Sophos, AVP (KAV),
InoculateIT, PCCillin, F-Prot y NOD32, son deshabilitados
cuando el virus toma el control. Esto deja a los usuarios que
ignoran estar infectados, totalmente indefensos ante el
ataque de cualquier otro virus.

* Cómo protegernos

La única protección efectiva para este gusano, es actualizar
el Internet Explorer (ver Referencias al pie de este
artículo).

El gusano llega en un mensaje con formato, generalmente con
un tamaño de 100 y pocos Kb, con texto y asunto seleccionados
al azar, y un adjunto (no visible con el clásico clip),
también variable. El remitente puede ser un usuario
infectado, o puede figurar cualquier dirección conocida,
usurpada por el virus, sin que el remitente esté infectado.

Valiéndose de una vulnerabilidad en las extensiones MIME, el
Internet Explorer (quien ejecuta por defecto todos los
mensajes con formatos HTML del Outlook, aunque esto pase
desapercibido, debido a que no se abre una pantalla del IE),
abre y ejecuta el archivo binario adjunto al correo, pensando
se trata de uno de música por ejemplo. MIME (Multipurpose
Internet Mail Extension) es un sistema que permite integrar
dentro de un mensaje de correo electrónico archivos de
imágenes, sonido, programas ejecutables, etc., específicos
para determinadas aplicaciones o archivos multimedia. El
error consiste en hacer pensar al IE que se trata de un
sonido o una imagen y abrirlo sin comprobar. En ese caso, el
archivo con el gusano (un EXE), se ejecuta sin advertencia
alguna.

Son vulnerables usuarios con Internet Explorer 5.0x y 5.5 sin
los parches mencionados.

También puede afectar a usuarios con otros navegadores,
aunque en ese caso al abrir el adjunto con un doble clic.

El gusano opera independientemente del cliente del correo,
usando sus propias rutinas de SMTP para extenderse, de modo
que también son afectados los usuarios que no usen Outlook u
Outlook Express (aunque se requiere abrir el adjunto).

* Herramienta para limpiar el Klez.E

CLARV es una utilidad creada por Kaspersky Labs para eliminar
la infección del Klez (y otros virus, como se explica en el
enlace a nuestro sitio).

Siga estos pasos para utilizar CLRAV (*):

1. Descargue CLRAV de nuestro sitio al escritorio de Windows
(por ejemplo)

CLRAV.COM (86 Kb)
http://www.videosoft.net.uy/clrav.com

2. Haga doble clic sobre el archivo descargado (CLRAV) y siga
las instrucciones.

3. Ejecute uno o dos antivirus actualizados

4. Reinicie su PC

5. Vuelva a ejecutar un antivirus actualizado escaneando
todos sus discos

Nota: Si su PC está conectado a una red, desconecte cada PC
de la red, y repita este proceso EN CADA PC.

(*) CLRAV es Copyright (C) Kaspersky Lab 2000-2002. All
rights reserved.

* Referencias:

CLRAV de Kaspersky Labs
http://www.vsantivirus.com/util-clrav.htm

W32/Elkern.C (Elkern.D). El "regalo" que deja el Klez.H
http://www.vsantivirus.com/elkern-c.htm

W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm

Virus: W98/Elkern.A. Destructivo virus liberado por el
W32/Klez
http://www.vsantivirus.com/elkern-a.htm

W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm

W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión
http://www.vsantivirus.com/klez-e.htm

El virus que destruyó nuestra credibilidad
http://www.vsantivirus.com/klez-credibilidad.htm

Virus: W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm

A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm

Virus: W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm

Virus: W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm

¡Cuidado!. Los viejos virus pueden tener nueva cara
http://www.vsantivirus.com/03-05-02.htm

Klez.H hace públicos nuestros secretos más íntimos
http://www.vsantivirus.com/20-04-02a.htm

Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm

Guía rápida para limpiar un sistema infectado con el Klez.H
http://www.vsantivirus.com/faq-klez.htm

* Actualizaciones:
6 de setiembre de 2002

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - W32/Hunch.H. Texto en español. Formatea el disco duro
_____________________________________________________________

http://www.vsantivirus.com/hunch-h.htm

Nombre: W32/Hunch.H
Tipo: Gusano de Internet
Alias: W32.Hunch.H@mm, Bloodhound.W32.VBWORM
Fecha: 5/set/02
Tamaño: 46,592 bytes
Plataforma: Windows 32-bits

Este gusano se propaga a través del correo electrónico, en un
mensaje en español con el mismo asunto (pero sin extensión)
que el nombre del archivo adjunto (el cuál puede variar).

Contiene una rutina destructiva que puede borrar archivos en
forma randómica e inclusive formatear la unidad C.

El mensaje posee estas características:

Asunto: [primeras 4 letras del nombre del adjunto, sin
extensión]

Texto:
Tal como te prometi; te envio mi foto en el archivo
adjuncto...

Datos adjuntos: [varios] (46,592 bytes)

Cuando el usuario abre el adjunto, se ejecuta el gusano,
enviándose a todos los contactos de la libreta de direcciones
de Microsoft Outlook y Outlook Express, adjunto en un mensaje
similar al anterior.

Luego despliega en la pantalla una imagen pornográfica, y se
copia en las siguientes ubicaciones y con los siguientes
nombres:

C:\Windows\System\Newmsie7.exe
C:\Windows\System\Setup.Exe
C:\Windows\System\[igual al adjunto recibido]

'C:\Windows\System' puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como 'C:\WinNT\System32' en Windows NT/2000 y
'C:\Windows\System32' en Windows XP).

También crea la siguiente entrada en el registro para
autoejecutarse en el próximo reinicio.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Setup = C:\Windows\System\Setup.Exe

Luego, borra cinco archivos al azar, seleccionados entre
aquellos con las siguientes extensiones:

.ini
.xlm
.mid
.ttg
.mp2
.ccp
.mp3
.mpg
.asm
.pif
.ico
.log
.cpl
.vxd
.chm
.com
.bat
.dbf
.tga

El gusano guarda una lista de los archivos borrados en el
siguiente archivo de texto:

C:\Windows\System\ListWin.txt

Finalmente, modifica el archivo C:\AUTOEXEC.BAT, agregando
los siguientes comandos que intentan borrar archivos claves
para el funcionamiento de Windows, además de intentar
formatear la unidad de disco C:

DE#L %system%\*.DAT
DE#L %system%\*.COM
DE#L %system%\*.EXE
CLS
FORMA#T C: /u /v:COOL! /a#utotest

(Nota de VSAntivirus: el carácter '#' ha sido insertado en la
descripción para evitar falsas alarmas de los antivirus).

Luego de estos cambios, si la computadora se vuelve a
reiniciar (solo en Windows 95, 98 y Me), el disco duro sería
formateado.

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

* Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos
duros

3. Borre los archivos detectados como infectados

Nota: Los archivos borrados deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.

Sin embargo, si desea intentar restaurarlos manualmente desde
un respaldo anterior (solo en el caso de que no se hubiera
ejecutado la rutina que formatea el disco duro), puede
guiarse por el contenido del archivo
C:\Windows\System\ListWin.txt. Allí el gusano guarda una
lista de los archivos borrados al azar.

* Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los
siguientes archivos:

C:\Windows\System\Newmsie7.exe
C:\Windows\System\Setup.Exe
C:\Windows\System\[igual al adjunto recibido]

Pinche con el botón derecho sobre el icono de la 'Papelera de
reciclaje' en el escritorio, y seleccione 'Vaciar la papelera
de reciclaje'.

* Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

Setup

4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y
Me.

* Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso
de autoprotección de esta versión de Windows, existe una
copia de respaldo del archivo AUTOEXEC.BAT en la carpeta
C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los
siguientes cambios. Para ello, desde el Explorador de
Windows, abra la carpeta C:\Windows\Recent, y en el panel de
la derecha, seleccione y borre Autoexec.bat. Este archivo se
regenerará como una copia del archivo que a continuación
modificaremos, al grabar los cambios hechos.

* Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de
c:\autoexec.bat

3. Borre todas las líneas que contengan los comandos DEL, y
FORMAT si éstas existieran:

4. Seleccione Archivo, Guardar, para grabar los cambios, y
luego reinicie su PC.

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - W32/Hunch.I. Texto en español. Formatea el disco duro
_____________________________________________________________

http://www.vsantivirus.com/hunch-i.htm

Nombre: W32/Hunch.I
Tipo: Gusano de Internet
Alias: W32.Hunch.I@mm, Bloodhound.W32.VBWORM
Fecha: 5/set/02
Tamaño: 73,728 bytes
Plataforma: Windows 32-bits

Este gusano se propaga a través del correo electrónico, en un
mensaje en español con el mismo asunto (pero sin extensión)
que el nombre del archivo adjunto (el cuál puede variar).

Contiene una rutina destructiva que puede borrar archivos en
forma randómica e inclusive formatear la unidad C.

El mensaje posee estas características:

Asunto: [nombre del adjunto, sin extensión]

Texto:
Tal como te prometi; te envio mi foto en el
archivo adjuncto...

Datos adjuntos: [varios] (73,728 bytes)

Luego despliega en la pantalla una imagen pornográfica, y se
copia en las siguientes ubicaciones y con los siguientes
nombres:

C:\Windows\System\Msie7en.exe
C:\Windows\System\Colas.exe
C:\Windows\System\[igual al adjunto recibido]

También crea la siguiente entrada en el registro para
autoejecutarse en el próximo reinicio.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
COLAS = C:\Windows\System\Colas.exe

Luego, borra cinco archivos al azar, seleccionados entre
aquellos con las siguientes extensiones:

.xls
.doc
.wav
.dwg
.mp3
.bak
.cdx
.bmp
.htm
.hlp
.chm
.jpg
.tga
.cpl
.acd
.mid
.cdr
.mdb
.dbf
.ico

El gusano guarda una lista de los archivos borrados en el
siguiente archivo de texto:

C:\Windows\System\MyWife!.scr

DE#L %system%\*.SYS
DE#L %system%\*.DLL
DE#L %system%\*.OCX
CLS
FORMA#T C: /u /v:COLAS /a#utotest

(Nota de VSAntivirus: el carácter '#' ha sido insertado en la
descripción para evitar falsas alarmas de los antivirus).

Luego de estos cambios, si la computadora se vuelve a
reiniciar (solo en Windows 95, 98 y Me), el disco duro sería
formateado.

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

* Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos
duros

3. Borre los archivos detectados como infectados

Sin embargo, si desea intentar restaurarlos manualmente desde
un respaldo anterior (solo en el caso de que no se hubiera
ejecutado la rutina que formatea el disco duro), puede
guiarse por el contenido del archivo
C:\Windows\System\MyWife!.scr. Allí el gusano guarda una
lista de los archivos borrados al azar.

* Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los
siguientes archivos:

C:\Windows\System\Msie7en.exe
C:\Windows\System\Colas.exe
C:\Windows\System\[igual al adjunto recibido]

Pinche con el botón derecho sobre el icono de la 'Papelera de
reciclaje' en el escritorio, y seleccione 'Vaciar la papelera
de reciclaje'.

* Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

COLAS

4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y
Me.

* Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso
de autoprotección de esta versión de Windows, existe una
copia de respaldo del archivo AUTOEXEC.BAT en la carpeta
C:\Windows\Recent.

* Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de
c:\autoexec.bat

3. Borre todas las líneas que contengan los comandos DEL, y
FORMAT si éstas existieran:

4. Seleccione Archivo, Guardar, para grabar los cambios, y
luego reinicie su PC.

* Limpieza de virus en Windows Me y XP

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

4 - VBS/Ednav(B,C). Asunto: System Administrator Notification
_____________________________________________________________

http://www.vsantivirus.com/ednav-bc.htm

Nombre: VBS/Ednav.B, VBS/Ednav.B
Tipo: Gusano de Visual Basic Script
Alias: VBS.Ednav@mm, VBS_EDNAV.B,VBS_EDNAV.C
Fecha: 3/set/02
Plataforma: Windows 32-bits
Tamaño: 5,386 bytes (B) , 6,087 bytes (C)

Es un destructivo gusano escrito en Visual Basic Script, que
puede borrar todos los archivos de la carpeta 'Mis
Documentos' y claves importantes del registro en determinadas
fechas.

Se propaga infectando archivos .VBS y enviando copias de si
mismo a través de la red KaZaa, así como a través del correo
electrónico, en mensajes como el siguiente:

Asunto: System Administrator Notification

Texto:

Due to the recent problems with the email server, we have
devised a program that will fix it up. You are requested to
download the attached file and execute it at once. The
whole setup will take 5 to 10 minutes. If your system
crashes, just restart your computer and everything will be
back to normal.

Please follow instructions carefully.

System Administrator
Network Management.

Datos adjuntos: [archivo .VBS]

El adjunto puede tener cualquier nombre. Para el envío
utiliza el Microsoft Outlook y Outlook Express.

Cuando se ejecuta, el gusano encripta de inmediato todos los
archivos .VBS localizados en la carpeta
C:\Windows\Samples\WSH. Esta carpeta contiene ejemplos de
archivos de comandos usados por la utilidad Windows Script
Host, un poderoso lenguaje que permite la ejecución de
scripts. Sin embargo, la mayoría de los usuarios no utiliza
este tipo de archivos para su uso personal.

'C:\Windows' puede variar de acuerdo a la versión de Windows
instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o
'C:\WinNT' en Windows NT/2000).

El gusano posee su propia rutina de encriptación y
desencriptación, la que es copiada en todos los archivos
infectados.

Todas las versiones:

Si la fecha actual del sistema es 1, 30 o 31 de cualquier
mes, el gusano muestra dos ventanas de mensajes con los
siguientes textos:

Texto 1:

Joke: Do not click OK button or your My
Documents files will get lost!

Texto 2:

Serious: We have to laugh at our problems.

Luego, procede a borrar todos los archivos localizados en la
carpeta 'Mis Documentos' (C:\Mis documentos por defecto).

Versión C solamente:

Si la fecha actual del sistema es 1 o 2 de cualquier mes, el
gusano muestra una ventana con el siguiente texto:

news flash: barney is dead.

También intenta borra la siguiente clave del registro:

HKEY_CURRENT_USER\Software

Si la fecha actual es 29, 30, o 31 de cualquier mes, se
muestra una ventana con el siguiente mensaje:

In the local news: vAndEEd0 hits again.

También agrega las siguientes entradas en el registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\Explorer
“NoDrives” = “01 00”HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\Explorer
“ClassicShell” = “01 00”

Además intenta borrar la siguiente clave del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion

Finalmente, cada vez que se ejecuta el script original, se
muestra una ventana sin botones, con el siguiente mensaje:

VBScript
vandEEd0

La ejecución de cualquiera de los demás archivos infectados,
no despliega dicho mensaje.

El gusano se envía a través del Outlook y Outlook Express, en
mensajes similares al ya descripto.

Además de ello, para estar disponible a otros usuarios en la
red KaZaa, crea las siguientes entradas en el registro:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Dir2="012345:C:\Windows\SAMPLES\WSH"

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DisableSharing="0"

En el código de los scripts infectados, puede encontrarse el
siguiente texto visible:

rem vandEEd0 intelihente por sustento sinco

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

* Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools >
Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta 'Traffic'.

* Reparación manual

Nota: Si se activa la rutina de borrado de archivos, incluido
parte del registro, se deberá proceder a su recuperación
desde una copia de respaldo, o en su defecto a la
reinstalación de Windows, cosa que puede hacerse sobre el
anterior para no perder la actual configuración. Sugerimos
que se llame a un servicio técnico especializado para
realizar estas tareas.

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos
duros

3. Borre los archivos detectados como infectados

* Editar el registro

Todas las versiones:

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

3. Pinche en la carpeta "LocalContent" y en el panel de la
derecha busque y borre las siguientes entradas:

Dir2 = "012345:C:\Windows\SAMPLES\WSH"
DisableSharing = "0"Versión C solamente:

4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer

5. Pinche en la carpeta "Explorer" y en el panel de la
derecha busque y borre las siguientes entradas:

NoDrives
ClassicShell

6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script
Defender, utilidad que nos protege de la ejecución de
archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF,
.WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y
gusanos escritos en Visual Basic Script por ejemplo, ya no
nos sorprenderán.

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm

* Limpieza de virus en Windows Me y XP

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

5 - VBS/Ednav.D. Se propaga a través de la red KaZaa
_____________________________________________________________

http://www.vsantivirus.com/ednav-d.htm

Nombre: VBS/Ednav.D
Tipo: Gusano de Visual Basic Script
Alias: VBS.Ednav@mm, VBS_EDNAV.D, VBS/Dedo@MM
Fecha: 4/set/02
Plataforma: Windows 32-bits
Tamaño: varios

Es un destructivo gusano escrito en Visual Basic Script, que
puede borrar todos los archivos .VBS de la máquina infectada.

Se propaga enviando copias de si mismo a través de la red
KaZaa.

Cuando el archivo .VBS se ejecuta, se muestran los siguientes
mensajes:

Mensaje 1:

Joke: Do not click the OK button or your My Documents files
will get lost!

Mensaje 2:

Serious: We have to laugh at our problems.

Mensaje 3:

vandEEd0

El primer mensaje es solo una broma. Esta versión del gusano
no borra ningún archivo en la carpeta 'Mis Documentos' (las
versiones B y C del gusano si lo hacen).

Luego de ello, suplanta el contenido de todos los archivos
.VBS localizados en la máquina infectada, suplantándolos por
su propio código. Los archivos originales quedan
irrecuperables.

Para estar disponible a otros usuarios en la red KaZaa, el
gusano crea las siguientes entradas en el registro:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Dir2="012345:C:\Windows\SAMPLES\WSH"

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DisableSharing="0"

'C:\Windows' puede variar de acuerdo a la versión de Windows
instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o
'C:\WinNT' en Windows NT/2000).

Luego, envía a las siguientes direcciones (pertenecientes a
conocidos fabricantes de antivirus) el mensaje que se
describe a continuación (tal vez la intención del autor sea
bombardear a los fabricantes con sus mensajes):

info@mcafee.com
virus_research@nai.com
virus_doctor@trendmicro.com
support@support.trendmicro.com
av_query@trendmicro.com
samples@f-secure.com
anti-virus-support@f-secure.com
support@sophos.com
vsample@avertlabs.com

Mensaje enviado:

Asunto: Do not blame me.

Texto:
Hello guys! what happenned? Do not blame me. I never
executed this thing in the internet.

Datos adjuntos: [archivo .VBS]

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

* Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools >
Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta 'Traffic'.

* Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos
duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.

* Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

3. Pinche en la carpeta "LocalContent" y en el panel de la
derecha busque y borre las siguientes entradas:

Dir2 = "012345:C:\Windows\SAMPLES\WSH"
DisableSharing = "0"

4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm

* Limpieza de virus en Windows Me y XP

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________