NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

Gusano VBS/Jolin@MM

 

Nombre de virus: VBS/Jolin@MM

Alias conocidos:
VBS.Jolin@mm, VBS/Niloj-A

Riesgo Infección:
Alto (Bajo, Alto, Muy Alto)

Activación:
Por ejecución de fichero .VBS infectado

Propagación:
Libreta de direcciones de Outlook, IRC y disquetes

Detección:
DATS 4146

Motor necesario:
4.0.70

Infección actual:
Inicial (Inicial, Media, Elevada)

Se trata de un gusano mass-mailing que se envía a la libreta de direcciones de Outlook del siguiente modo:

Una vez se ejecuta el fichero adjunto (!!jolin_caught_naked!!!!.jpg.vbs), aparece un mensaje con el título "Jolin Install", que dice:

 

This will installs all the horny contents of Jolin.

The contents will be installed in this folder:
%WinDir%\JOLIN_NAKED_SECRET_FOLDER\

All contents will be kept in a secret folder.
To prevent your mother from seeing it. gee~

El virus se copia como "!!jolin_caught_naked!!!!.jpg.vbs" en los directorios WINDOWS y WINDOWS/SYSTEM y modifica el registro de sistema del siguiente modo para ejecutarse en cada reinicio de Windows:

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MicrosoftUpdate=%SysDir%\!!jolin_caught_naked!!!!.jpg.vbs

A continuación, el gusano se copia en la carpeta 'Mis Documentos' con el nombre de ficheros que encuentre con las siguientes extensiones: .EXE, . MP3, .MPEG, y .ZIP, y añadiendo la extensión .VBS (p.e. SONIDO.MP3.VBS). Los ficheros originales se borran. El virus también borra todos los .DLL, .EXE e .INF de \Windows\System.

Igualmente, intenta sobreescribir el fichero SCRIPT.INI de mIRC con instrucciones para enviarse a usuarios de IRC cuando estos entren en un canal donde esté el usuario infectado.

Por otro lado, intenta copiarse a disquetes.

 

Eliminación

Utilizar motor mínimo 4.0.70 y DATS min. 4146 para su detección y eliminación.

 

 

SATINFO, VIRUSCAN SPAIN SERVICE 11-07-2001

 

Anterior