lunes, 1 de diciembre de 2008

Virus VBS y Scripting Host

1 - Habilitar la opción para poder ver las extensiones verdaderas de los archivos.

Recordemos la forma en que por lo general este tipo de virus intenta ocultar su extensión. Los .VBS son ejecutables de Visual Basic Script. Al ser su extensión .TXT.VBS por ejemplo, la extensión .VBS quedará oculta por lo general, y por lo tanto aparentará ser un archivo de texto: .TXT, haciéndonos pensar tal vez en su inocencia.

Para comprobar la verdadera extensión que tiene el fichero, le aconsejo que marque la opción de mostrar ficheros y archivos ocultos, para ello siga los pasos que se le indica en el artículo de Mostrar archivos ocultos.

2 - Deshabilitar el Windows Scripting Host en nuestro PC.

Como hemos mencionado, este tipo de virus es incapaz de ejecutarse si deshabilitamos las opciones de Windows Scripting Host de nuestro PC.

El Windows Scripting Host (WSH), es un interprete de Java Script y de Visual Basic Script, y puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus del tipo VBS. Está instalado por defecto en Windows 98 y posteriores, no así en Windows 95, donde deberá ser instalado de querer usarse.

Probablemente un usuario común no requiera de estas tareas, ya que estas posibilidades suelen ser usadas solamente por usuarios avanzados o expertos.

WSH agrega funcionalidades similares a la ejecución por lotes del MS-DOS (.BAT), pero bajo el entorno Windows, bajo línea de comandos.

Windows Scripting Host habilita la ejecución de scripts (guiones o archivos del tipo de proceso por lotes), directamente desde el escritorio de Windows o desde la línea de comandos, sin la necesidad de incluir estos scripts en un documento HTML. Los scripts pueden ser ejecutados directamente desde el escritorio haciendo clic sobre un archivo, o por medio de una consola de comandos. Además, WSH provee un host con un consumo mínimo de memoria, ideal para procesos no interactivos, tales como control de acceso, control administrativo, y cualquier otra tarea que requiera una serie de comandos para ser ejecutado. Los conocedores del DOS, encontrarán bastantes similitudes a lo que se podía hacer con un .BAT.

Windows Scripting Host requiere un máquina ActiveX de scripts instalada, tal como la que provee el Internet Explorer.

Para desactivar el Windows Scripting Host de su escritorio, proceda de alguna de las siguientes maneras:

a. En Windows 95 y 98 (Manual)

Desde el Panel de Control (Mi PC, Panel de Control), Agregar o quitar programas, Instalación de Windows, Accesorios, pinche en Detalles, y desmarque "Windows Scripting Host". Reinicie su PC.

b. En todas las versiones de Windows 95, 98, Me (Automático)

Con la excepción de algunas versiones de Windows 98, el Windows Scripting Host puede estar instalado en su computadora, pero no ser mostrado en "Quitar o agregar programas" del panel de control, como vimos en el punto (a).

Existe un programa de Symantec (Norton) que lo hace en forma automática, modificando el registro. Este programa no solo funciona en Windows Me, sino que también puede ser ejecutado en Windows 95/98/NT4 y 2000. Su nombre es NOSCRIPT.EXE (127 Kb) y puede bajarse de aquí (es gratuito).

Al ejecutarse NOSCRIPT, el mismo cambia las siguientes ramas del registro:

HKEY_CLASSES_ROOTJSFile
HKEY_CLASSES_ROOTVBSFile
HKEY_CLASSES_ROOTWSHFile
HKEY_LOCAL_MACHINESoftwareCLASSESVBSFile
HKEY_LOCAL_MACHINESoftwareCLASSESWSHFile
HKEY_LOCAL_MACHINESoftwareCLASSESJSFile

y las convierte en:

HKEY_CLASSES_ROOTJSFile.SymantecDisabled
HKEY_CLASSES_ROOTVBSFile.SymantecDisabled
HKEY_CLASSES_ROOTWSHFile.SymantecDisabled
HKEY_LOCAL_MACHINESoftwareCLASSESVBSFile.SymantecDisabled
HKEY_LOCAL_MACHINESoftwareCLASSESWSHFile.SymantecDisabled
HKEY_LOCAL_MACHINESoftwareCLASSESJSFile.SymantecDisabled

Esto impide que los archivos .JS, .VBS y .WSH se ejecuten al pinchar sobre ellos, o al ser llamados por otros programas, o que se autoejecuten de estar en determinadas carpetas de inicio.

Si ejecutamos NOSCRIPT nuevamente, el registro volverá a quedar como estaba antes. Este programa funciona en todas las versiones con Windows Scripting Host instalado.

c. En todas las versiones de Windows 95, 98, Me, 2000, NT, XP (Manual)

En todas las versiones de Windows (95, 98 y Me), el WSH también puede ser quitado eliminando un archivo ejecutable (si no desea o no puede usar alguna de las formas anteriores).

Para ello, desde Inicio, Buscar, Archivos o carpetas, busque en la unidad C: (Buscar en: C: o Buscar en: Discos duros locales), el archivo WSCRIPT.EXE.

Si lo encuentra, pulse sobre él con el botón derecho y seleccione "Cambiar nombre". Modifíquelo por ejemplo, como WSCRIPT.BAK. Esto lo permitirá volver a recuperarlo fácilmente si lo desea (buscando WSCRIPT.BAK y renombrándolo como WSCRIPT.EXE).

Nota: En algunas versiones, este archivo puede aparecer en dos lugares diferentes, renombre los dos.

Tenga en cuenta que cuando requiera abrir un archivo .VBS (o .WSH, .JSE, .VBE, .WSF o .JS), Windows mostrará un mensaje de error, ignórelo.

No hay comentarios: