NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior



Nueva variante del virus VBS/LoveLetter

Nombre de virus : VBS/Newlove.a

Alias conocidos :

Peligrosidad :Alta  (Baja, Alta, Muy Alta)

Activación : por ejecución de fichero infectado

Propagación :  por Outlook

Detección : Extra.DAT o DAT 4080 (o superior)

Motor necesario : Engine 4.0.70 o superior

Infección actual :  Inicial    (Inicial, Media, Elevada)
 
 

*Nota: Después del aplicar el EXTRA.DAT o 40??.DAT correspondiente, asegúrese que la extensión .VB? se incluya cuando explore en buca de virus.*

Se trata de un gusano VBScript.

La primera vez que se ejecuta el gusano, descarga una copia de sí mismo en la carpeta Windows dándole el nombre de un documento de la carpeta Recent Documents o un Nombre aleatorio, y tiene una extensión aleatoria escogida de entre Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt y la extensión real, ".vbs" El gusano modificará esa copia añadiendo comentarios aleatorios a su cuerpo.

Modifica las siguientes claves de registro:

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"

 y

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\"

para ejecutar la copia en la carpeta Windows

Este gusano llegará en un mensaje de correo electrónico con este formato:

Subject: Comienza con "FW: " y puede ser un nombre escogido de la carpeta Recent Documents o un nombre aleatorio

Mensaje: Vacío

Attachment: Es el nombre de fichero VBS seleccionado aleatoriamente de la carpeta Windows
Si el usuario ejecuta el fichero asociado, el gusano utiliza el programa Windows Scripting Host. Este normalmente no está presente en Windows 95 o Windows NT a menos que se instale Internet Explorer 5.

El gusano utiliza Microsoft Outlook para enviar copias de sí mismo a todas las entradas dela libreta de direcciones.

Este gusano busca todas las unidades conectadas al sistema y reeemplaza todos los ficheros con copias de sí mismo, y añade la extensión .VBS al fichero original. Por ejemplo, PICT.JPG seria reemplazado por PICT.JPG.VBS y este contendria el gusano. El fichero original se borra.

No reemplaza todos los fichero con su código - debido a un bug, los ficheros que crea en lugar de los originales tienen una longitud de 0-bytes.

Falla la escritura del código vírico dentro de estos.
 

Indicaciones de Infección

Existencia de los ficheros mencionados anteriormente, ficheros reemplazados como se comenta anteriomente.
Propagación por e-mail como se describe anteriormente.
 

Método de Infección

Este virus se ejecutará si está instalado Windows Scripting Host.

Ejecutado el adjunto al mensaje de correo recibido, ya sea de manera accidental o intencionada, el gusano se instalará en el sistema local.
 
 

SATINFO, VIRUSCAN SPAIN SERVICE                             L.14.5.00
 
 

SATINFO, VIRUSCAN SPAIN SERVICE

Anterior