Alias VBS. Happytime. A (CA) VBS/Help (Panda) VBS_Haptime.A Información del Virus Fecha de Descubrimiento: 4/29/01 Fecha de Ingreso: 5/4/01 Tipo: Virus Subtipo: Email Origen: Desconocido Tamaño: Variable Variantes: Ninguna Características del Virus Este virus es un Script de Visual Basic, se adjuntará a si mismo a los archivos, eliminando archivos, y puede propagarse a través de la inserción en un Script, contenido en el cuerpo de un mensaje de correo con formato HTML. Cuando se le permite al Script ejecutarse, el virus se inserta a si mismo al final de los archivos ASP, HTM, HTML, HTT y VBS. Si el día actual sumado con el mes actual es igual a 13, el virus intentará eliminar los archivos DLL y EXE tanto en las unidades locales como de red. El virus guarda el código viral en los archivos HELP. HAT y HELP.VBS, en el primer directorio encontrado en la unidad C, y los archivos HELP.HTM y UNTITLED.HTM en el directorio WINDOWS. Un valor del clave del registro se crea para dejar el archivo HELP.HTM como el fondo de escritorio actual que da lugar a la ejecución del virus al iniciar el sistema, siempre que el Active Desktop esté habilitado. HKCU\Control Panel\Desktop\wallPaper=%WinDir%\HELP.HTM De manera similar a como actúa LSKakM, el virus configura el valor que deja por defecto Microsoft Outlook Express en un archivo externo %WinDir%UNTITLED.HTM. Esto causa que cada mensaje enviado desde Outlook Express contiene un código viral oculto. Esta configuración es modificada en el registro para realizar la tarea. HKCU\Identities\(User ID)\Software\Microsoft\ Outlook Express\5.0\Mail\Message Send HTML="1" HKCU\Identities\(User ID)\Software\Microsoft\ Outlook Express\5.0\Mail\Compose Use Stationery="1" HKCU\Identities\(User ID)\Software\Microsoft\ Outlook Express\5.0\Mail\Stationery Name="%WinDir%\Untitled.htm" En forma adicional, los archivos HTT en el directorio %WinDir%\\WEB están infectados, con lo cual los resultados en el virus es que cada cierto tiempo un directorio es visualizado como una página Web. El virus mantiene un registro del número de veces que ha sido ejecutado creando una nueva clave de registro e incrementando el valor de esta clave HKCU\Software\Help\ Una vez que el contador alcance un múltiplo de 366, el virus procurará sin éxito asociar UNTITLED.HTM al mensaje del Email que Síntomas -Ausencia de archivos DLL y EXE -Aumento en el largo de archivos con extensión ASP, HTM, HTML, HTT, y VBS -Presencia de los archivos HELP.HTA, HELP.VBS, HELP.HTM y UNTITLED.HTM Método de Infección VBS/Haptime existe como un código VBScript incrustado, oculto en el cuerpo de un mensaje de correo en formato HTML y además en páginas Web. Cuando un documento infectado es abierto y el Script tiene permisos de ejecución, la máquina local es infectada. Una vez infectada, esta máquina comienza transmitiendo el virus a través del Email y propagación LAN Sólo para Usuarios de Windows ME Nota: Windows ME utiliza una utilidad de Backup que respalda archivos seleccionados automáticamente en C:\Directorio_respaldo. Este permite que un archivo infectado pueda ser almacenado en un archivo de respaldo, y VirusScan estará incapacitado para detectar estos archivos. Estas instrucciones explican como remover los archivos infectados en C:\Directorio_respaldo: Deshabilitando la utilidad de Recuperación 1. Hacer clic derecho sobre el icono Mi PC en el escritorio y elegir propiedades 2. Hacer clic en la viñeta de Rendimiento 3. Hacer clic en el botón de Archivos del sistema 4. Hacer clic en la opción Resolver problemas 5. Marcar la opción "Deshabilitar Sistema de restauración" 6. Hacer clic en el botón aplicar 7. Hacer clic en el botón Cerrar 8. Hacer clic en el botón Cerrar, nuevamente 9. El sistema indicará que se debe reiniciar el PC. Debe presionar "Aceptar" Nota: La utilidad de restauración estará habilitada. 10. Reiniciar el PC en "modo a prueba de fallos" 11. Ejecutar un escaneo con VirusScan para detectar todos los archivos infectados, o localizar los archivos en c:\Directorio_respaldo y eliminarlos. 12. Después de remover los archivos indicados, reiniciar el PC normalmente. Nota: Al habilitar nuevamente la utilidad de Restauración, seguir los pasos 1-9 y en el paso 5 desmarcar la opción "Habilitar el sistema de restauración". Los archivos infectados están eliminados y el sistema de restauración esta otra vez activo.