| VIRUS |
 |
| VBS/Loveletter.CM |
|
|
|
| Nombre: VBS/Loveletter.CM |
|
| Aliases: VBS.Lopez.A@mm, VBS/Loveletter.CM@mm, VBS/JenniferLopez |
|
| Variantes: Ninguna |
|
| Fecha de Descubrimiento: 29/05/2001 |
|
| Tipo: Gusano de internet |
|
| Gravedad: Baja |
|
| Origen: Algeria |
|
|
|
|
| Información: Nueva variante del Loveletter que libera al virus W95/CIH, simulando ser una foto de Jennifer Lopez. |
|
|
|
Características: Esta nueva versión del clásico y famoso Loveletter intenta engañar a los usuarios con una foto de la actriz y cantante Jennifer Lopez. Este gusano tiene la particularidad de incluir junto con él una variante del W95/CIH.
El gusano, llegará a nuestro sistema en un mensaje de correo electrónico con las siguientes características:
Asunto: Where are you?
Texto: This is my pic in the beach!
Archivo adjunto: JENNIFERLOPEZ_NAKED.JPG.vbs
Una vez que el usuario ejecuta dicho archivo adjunto el virus comenzará modificando la siguiente clave del registro de configuraciones de Windows:
HKCU\Software\Microsoft\Windows Scripting Host\Settings
Timeout = 0
Esta clave le indica al virus si su tarea ha sido completada o no. Mientras ésta valga 0, el virus realizará las siguientes acciones.
Luego de esto, examina todas las unidades de disco duro locales y las
compartidas en red, para sobrescribir con su propio código
todos los archivos encontrados con las siguientes
extensiones:
".VBS"
".VBE"
".JS"
".JSE"
".CSS"
".WSH"
".SCT"
".HTA"
También sobrescribe los archivos con las siguientes
extensiones:
".JPG"
".JPEG"
".MP3"
".MP2"
Luego los copia agregándoles la extensión ".VBS":
".JPG.vbs"
".JPEG.vbs"
".MP3.vbs"
".MP2.vbs"
Los archivos originales MP3 y MP2 son ocultados de la vista
estándar, cambiando sus atributos a ocultos (+H).
Luego modifica nuevamente el registro:
"HKCU\software\JENNIFFERLOPEZ_NAKED"
"Worm made in algeria"
También se copia a si mismo a la carpeta de Windows:
"C:\Windows\JENNIFERLOPEZ_NAKED.JPG.vbs"
Y modifica la siguiente rama del registro:
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"WORM = C:\Windows\JENNIFERLOPEZ_NAKED.JPG.vbs"
Esto ejecuta el virus en cada reinicio del sistema.
El gusano es capaz de enviarse a todos los contactos de la
libreta de direcciones del Outlook y Outlook Express.
Luego del envío, crea la siguiente rama del registro con el
valor "1" para no volverse a enviar por segunda vez:
"HKCU\software\JENNIFFERLOPEZ_NAKED"
"mailed = 1"
El virus también libera el virus CIH copiándolo en la carpeta
de Windows y luego lo ejecuta:
"C:\Windows\Cih_14.exe"
Este archivo posee el virus Win95.CIH.1019, una variante del
CIH, la cuál intentará sobrescribir sectores del disco duro y
borrar con basura la memoria Flash BIOS el día 26 de cada
mes. Este virus es sumamente peligroso, ya que su rutina
destructiva sobrescribe una parte importante del disco con
ceros, haciendo muy difícil su recuperación, y al borrar la
información del BIOS, se hace imposible el inicio de la
computadora. En la mayoría de los casos esto significa el
cambio del mother.
Fuentes: Panda Software, Video Soft |
|
|
|
| Para eliminarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Para ver una lista de las direcciones de dónde bajar estos archivos, haz click aquí. Como primer medida, deberá ejecutar la herramiente KILL_CIH que puede bajarla desde nuestra sección de "Herramientas" para desactivar el virus W95/CIH.
Luego de esto podrá actualizar o instalar un antivirus para proceder a la eliminación del virus de sus archivos.
Luego, siga estos pasos:
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows,
pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "Run". En el panel de la derecha
debería ver algo como:
WORM "C:\Windows\JENNIFERLOPEZ_NAKED.JPG.vbs"
4. Pinche sobre el nombre "WORM" y pulse la tecla SUPR o DEL.
Conteste afirmativamente la pregunta de si desea borrar la
clave.
5. En el panel izquierdo del editor de registro de Windows,
pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
Windows Scripting Host
Settings
6. Pinche sobre la carpeta "Settings". En el panel de la
derecha debería ver algo como:
Timeout "0"
7. Pinche sobre el nombre "Timeout" y pulse la tecla SUPR o
DEL. Conteste afirmativamente la pregunta de si desea borrar
la clave.
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
Si no han sido borrados, borre ahora los siguientes archivos:
"C:\Windows\Cih_14.exe"
"C:\Windows\JENNIFERLOPEZ_NAKED.JPG.vbs"
Las demás modificaciones en el registro no son importantes.
Tenga en cuenta que los archivos con las extensiones VBS,
VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP3, MP2, serán
borrados por el virus, debiéndose recuperar de un respaldo.
Es recomendable volver a ejecutar un par de antivirus luego
de este proceso.
Fuente: Video Soft |
|
|
|
|
| Agregado el: 31/05/2001 |
|
| Modificado el: 31/05/2001 |
|
|
|
|
 |
W32/Cuydoc: Solo infecta versiones en Español de Windows. Es capaz de eliminar todos los archivos .doc de Mis documentos y copiarse a la unidad A: si algún disquete es encontrado.  |
|
| W32/IRCBot.B: Se trata de una variante de la familia SDBot. Fue detectado propagándose a través del correo electrónico, como spam, pero no tiene ninguna rutina para propagarse por ese medio. En cambio, puede ser distribuido a través de los canales de IRC. |
|
|
|
 |
Virus más reportados en los últimos 30 días:
|
|
|
 |
|
Podés incorporar nuestras noticias y alertas en tu sitio:
|
|
|
0
|
