Virus vbs-haptime.a
Hola.
Me podéis indicar cómo puedo saber si mi ordenador está infectado por vbs-haptime.a
El servicio antivirus de iespana (mi servidor de correo) me dice que he enviado un e-mail con el virus, pero mi antivirus no detecta nada.
Un saludo. Fernando.
Me podéis indicar cómo puedo saber si mi ordenador está infectado por vbs-haptime.a
El servicio antivirus de iespana (mi servidor de correo) me dice que he enviado un e-mail con el virus, pero mi antivirus no detecta nada.
Un saludo. Fernando.
1 respuesta
Respuesta de memmoch
1
Pues haber si con la documentación que tengo tre puede servir para resolver esta duda que tienes, este virus es un Script de Visual Basic, se adjuntará a si mismo a los archivos, eliminando archivos, y puede propagarse a través de la inserción en un Script, contenido en el cuerpo de un mensaje de correo con formato HTML.
Cuando se le permite al Script ejecutarse, el virus se inserta a si mismo al final de los archivos ASP, HTM, HTML, HTT y VBS. Si el día actual sumado con el mes actual es igual a 13, el virus intentará eliminar los archivos DLL y EXE tanto en las unidades locales como de red.
El virus guarda el código viral en los archivos HELP. HAT y HELP.VBS, en el primer directorio encontrado en la unidad C, y los archivos HELP.HTM y UNTITLED.HTM en el directorio WINDOWS.
Un valor del clave del registro se crea para dejar el archivo HELP.HTM como el fondo de escritorio actual que da lugar a la ejecución del virus al iniciar el sistema, siempre que el Active Desktop esté habilitado.
HKCU\Control Panel\Desktop\wallPaper=%WinDir%\HELP.HTM
De manera similar a como actúa LSKakM, el virus configura el valor que deja por defecto Microsoft Outlook Express en un archivo externo %WinDir%UNTITLED.HTM. Esto causa que cada mensaje enviado desde Outlook Express contiene un código viral oculto. Esta configuración es modificada en el registro para realizar la tarea.
HKCU\Identities\(User ID)\Software\Microsoft\
Outlook Express\5.0\Mail\Message Send HTML="1"
HKCU\Identities\(User ID)\Software\Microsoft\
Outlook Express\5.0\Mail\Compose Use Stationery="1"
HKCU\Identities\(User ID)\Software\Microsoft\
Outlook Express\5.0\Mail\Stationery Name="%WinDir%\Untitled.htm"
En forma adicional, los archivos HTT en el directorio %WinDir%\\WEB están infectados, con lo cual los resultados en el virus es que cada cierto tiempo un directorio es visualizado como una página Web. El virus mantiene un registro del número de veces que ha sido ejecutado creando una nueva clave de registro e incrementando el valor de esta clave
HKCU\Software\Help\
Una vez que el contador alcance un múltiplo de 366, el virus procurará sin éxito asociar UNTITLED.HTM al mensaje del Email que envía.
Síntomas
-Ausencia de archivos DLL y EXE
-Aumento en el largo de archivos con extensión ASP, HTM, HTML, HTT, y VBS
-Presencia de los archivos HELP.HTA, HELP.VBS, HELP.HTM y UNTITLED.HTM
Cuando se le permite al Script ejecutarse, el virus se inserta a si mismo al final de los archivos ASP, HTM, HTML, HTT y VBS. Si el día actual sumado con el mes actual es igual a 13, el virus intentará eliminar los archivos DLL y EXE tanto en las unidades locales como de red.
El virus guarda el código viral en los archivos HELP. HAT y HELP.VBS, en el primer directorio encontrado en la unidad C, y los archivos HELP.HTM y UNTITLED.HTM en el directorio WINDOWS.
Un valor del clave del registro se crea para dejar el archivo HELP.HTM como el fondo de escritorio actual que da lugar a la ejecución del virus al iniciar el sistema, siempre que el Active Desktop esté habilitado.
HKCU\Control Panel\Desktop\wallPaper=%WinDir%\HELP.HTM
De manera similar a como actúa LSKakM, el virus configura el valor que deja por defecto Microsoft Outlook Express en un archivo externo %WinDir%UNTITLED.HTM. Esto causa que cada mensaje enviado desde Outlook Express contiene un código viral oculto. Esta configuración es modificada en el registro para realizar la tarea.
HKCU\Identities\(User ID)\Software\Microsoft\
Outlook Express\5.0\Mail\Message Send HTML="1"
HKCU\Identities\(User ID)\Software\Microsoft\
Outlook Express\5.0\Mail\Compose Use Stationery="1"
HKCU\Identities\(User ID)\Software\Microsoft\
Outlook Express\5.0\Mail\Stationery Name="%WinDir%\Untitled.htm"
En forma adicional, los archivos HTT en el directorio %WinDir%\\WEB están infectados, con lo cual los resultados en el virus es que cada cierto tiempo un directorio es visualizado como una página Web. El virus mantiene un registro del número de veces que ha sido ejecutado creando una nueva clave de registro e incrementando el valor de esta clave
HKCU\Software\Help\
Una vez que el contador alcance un múltiplo de 366, el virus procurará sin éxito asociar UNTITLED.HTM al mensaje del Email que envía.
Síntomas
-Ausencia de archivos DLL y EXE
-Aumento en el largo de archivos con extensión ASP, HTM, HTML, HTT, y VBS
-Presencia de los archivos HELP.HTA, HELP.VBS, HELP.HTM y UNTITLED.HTM
