EXTREMADAMENTE IMPORTANTE

Nombre de virus: VBS/San @ m

Alias conocidos: VBS.San.A

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Invade el contenido de los mails hechos con Outlook en ordenadores infectados

Propagación: Por lectura de e-mail infectado o de acceso a página web infectada

Detección: DATS 4121

Motor necesario: 4.0.35

Infección actual: Inicial (Inicial, Media, Elevada)

Una variante del virus VBS/Valentin, que bastantes estragos nos está causando, está ahora propagándose en España, a través de e-mails infectados, los cuales, simplemente por leerlos, infectan los ordenadores que no tengan el antivirus actualizado y bien configurado, ya que es preciso controlar las extensiones HT?

Este virus, al igual que el VBS/Valentin, del mismo autor, se activa los días 8, 14, 23 y 28 de cada mes, borrando los ficheros de los directorios primarios del disco duro y renombrando las carpetas, añadiendo a su nombre " happysanvalentin ".

Por otra parte, mientras no se ha activado, infecta la firma de los documentos hechos con Outlook en los ordenadores infectados, de forma que, los nuevos email, se envían con el mensaje acompañando código HTML con el VBS vírico.

Además, cambia la página de inicio del Internet Explorer de forma que el usuario sea llevado a una web española infectada con el virus VBS/Valentin,

El virus se copia en C:\windows\menú Inicio\Programas\Inicio\loveday14-a.HTA

con lo que se ejecuta en cada arranque de windows. Recuerdese que el otro virus VBS/Valentin se copia como loveday14-b.HTA, (Ver Valentin.RTF)

Estos virus, al igual que otros de HTML/VBS, aprovechan una vulnerabilidad del Internet Explorer de Microsoft, por la que se permite ejecutar el código VBS al interpretar código HTML. Conviene bajar de la web de Microsoft el parche correspondiente, para evitar sufrir este y otros ataques similares, por solo abrir el mail o acceder a una web infectada, aun sin ejecutar ningun fichero anexo. Además, el Outlook, sólo por iluminar el asunto del mensaje, ya interpreta dicho código, con lo cual entra en funcionamiento el virus.

Sugerimos lean la información en cuestión y actualicen sus ordenadores con dicho parche de Microsoft: http://www.microsoft.com/technet/security/bulletin/ms99-032.asp

McAfee AVERT recomienda, además, que lean la información de las siguientes direcciones electrónicas y actualicen sus ordenadores con los siguientes parches:

http://officeupdate.microsoft.com/2000/downloadDetails/Out2ksec.htm

A partir de los DATS 4121 y engine 4.0.35, ya se controla este virus, por lo que pueden bajar de nuestra web el fichero DATS4127.ZIP (o superior) y proceder al Autoupdate, o, si además quieren actualizar el engine, bajar el SDAT4127.EXE y ejecutarlo, en cuyo caso se dispondrá de DATS4127 y engine 4.1.40

Si el virus ha entrado en el ordenador, pero todavía no ha actuado, procede efectuar los siguientes pasos:

* Cerrar cliente(s) de e-mail

* Instalar los parches de Microsoft arriba mencionados

* Borrar el Loveday14-a.HTA y el Main.HTML

* Borrar las firmas de e-mail por defecto (Herramientas/Opciones/Firma)

* Borrar los mensajes no imprescindibles que contengan el script indicado

* Opcionalmente, cerrar el Preview Pane del Outlook

Por último recordar que en las extensiones a controlar por el VIRUSCAN/VSHIELD es muy conveniente incluir las PIF, JS?, HT? y VB?, la HT? especialmente para este tipo de virus. Pueden configurarlo manualmente o, para versión 4.03, ejecutar ADDEXT14.EXE incluido en \UTILES del disquete 1 de actualizacion, y para v4.5

puede ejecutarse ALLFILES.EXE existente en nuestra web www.satinfo.es

Nota.- Si a pesar de todo no se ha llegado a tiempo para controlar el virus y ha actuado borrando los ficheros de los directorios primarios, disponemos de una herramienta manual con la que recuperar, en FAT32, todos los ficheros borrados aunque sea a base de trabajo y paciencia, pero sólo para el VBS/San, no para el VBS/Valentin, debido a que en el último el virus sobreescribe los ficheros.

Si está Vd afectado, antes de hacer nada mas en el disco duro, contacte con nosotros y le enviaremos la utilidad especial, no contemplada en el antivirus.

 SATINFO, VIRUSCAN SPAIN SERVICE 13-3-01

Anterior