NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

EXTREMADAMENTE IMPORTANTE

Virus destructvo, pariente del VBS/Valentin y VBS/San, existente en España

Nombre de virus: VBS/San.B @ m

Alias conocidos: Loveday14-C

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Borra los ficheros de directorios primarios y añade happysanvalentin

Infección: Por lectura de e-mail infectado o de acceso a página web infectada

Detección: DATS 4131

Motor necesario: 4.0.35

Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de otra variante del virus VBS/Valentin, del que ya conocíamos hasta ahora otras 2 variantes, todos firmados por Onel2 de Melilla, diferenciándose en la activación, borrando los ficheros de los primeros directorios del disco duro, los días 8, 14, 23 y 29 como hacían el VBS/Valentín y el VBS/San, este nuevo lo hace en los días 8, 14, 19, 28 y 29 de cada mes.

Al igual que el VBS/San, antes de activarse, infecta la firma de los documentos hechos con Outlook en los ordenadores infectados, de forma que, los nuevos email, se envían con el mensaje acompañando código HTML con el VBS vírico.

El virus se copia en C:\windows\menú Inicio\Programas\Inicio\loveday14-c.HTA con lo que se ejecuta en cada arranque de windows. Recuerdese que las otras variantes VBS/San y Valentin se copian respectivamente como loveday14-a.HTA y loveday14-b.HTA (Ver Valentin.RTF y San.RTF de Febrero y Marzo 2001)

Estos virus, al igual que otros de HTML/VBS, aprovechan una vulnerabilidad del Internet Explorer de Microsoft, por la que se permite ejecutar el código VBS al interpretar código HTML. Conviene bajar de la web de Microsoft el parche correspondiente, para evitar sufrir este y otros ataques similares, por sólo abrir el mail o acceder a una web infectada, aún sin ejecutar ningun fichero anexo. Además, el Outlook, sólo por iluminar el asunto del mensaje, ya interpreta dicho código, con lo cual infecta al ordenador desde el que se está procesando.

Según indica el autor dentro del mismo virus, "esto es lo mismo que el loveday-a sólo que ahora puede afectar a los grupos de noticias"

Recordamos que tanto para el VBS/San como para el nuevo VBS/San.B, si se ha llegado tarde y ya han perdido los ficheros, tenemos la utilidad para recuperarlos, en FAT32, aunque de forma laboriosa. Si éste es su caso, contacte con nosotros.

SATINFO, VIRUSCAN SPAIN SERVICE 5-4-01

Anterior