| |
VSantivirus No. 1261 Año 8, sábado 20 de diciembre de 2003
W32/Beglur.A. Asunto: "For World of Peace!"
http://www.vsantivirus.com/beglur-a.htm
Nombre: W32/Beglur.A
Tipo: Gusano de Internet
Alias: Beglur, I-Worm.Beglur, Worm/Burl97, WORM_GLUBER.A, WORM_BURL97.A, WORM/BURL97, W32/Gluber@MM, Win32/Beglur.A
Tamaño: 8,774 bytes
Fecha: 19/dic/03
Plataforma: Windows 32-bit
Este gusano de envío masivo, se propaga como archivo adjunto en un mensaje con formato HTML, cuyo texto menciona a Saddam Hussein y a Osama Bin Laden. El adjunto, BGLR32.EXE, es un ejecutable de 8,774 bytes comprimido con la herramienta UPX (27 Kb sin comprimir).
Para ejecutarse en forma automática, con solo leer el mensaje, el gusano utiliza un exploit para aprovecharse de una conocida vulnerabilidad en el componente IFRAME (una etiqueta que abre una ventana del Explorer dentro de otra).
Cuando se ejecuta, se copia a si mismo en la carpeta del sistema:
c:\windows\system\bglr32.exe
NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).
También modifica el archivo SYSTEM.INI o el registro para autoejecutarse en cada reinicio (según la versión de Windows que infecte).
El gusano modifica la siguiente entrada del archivo C:\WINDOWS\SYSTEM.INI:
[boot]
shell=explorer.exe bglr32.exe
Luego, permanece residente en memoria, y examina todos los archivos en la unidad C, con las siguientes extensiones, a los efectos de recolectar direcciones electrónicas:
.txt
.mht
.htm
.html
.eml
.jse
.asp
Los mensajes enviados a dichas direcciones por el gusano, muestran estas características:
De: Baath <baath@iraq.com>
Asunto: For World of Peace!
Texto:
Saddam Hussien has been captured but Osama
Bin Laden still have a power and US will
never captured this person until somebody
captured Bush.
God Bless You!!
A.Q.T.E
Datos adjuntos: Bglr32.exe
Obtiene del registro, la información de configuración del servidor SMTP del usuario actual, para usarlo en el envío de los mensajes infectados. Si falla, intenta utilizar el siguiente servidor SMTP:
smtp.hotpop.com
El gusano utiliza un exploit que se aprovecha de una vulnerabilidad del Internet Explorer para manejar las etiquetas IFRAME, a los efectos de ejecutarse al ser visualizado el mensaje, en aquellos equipos que no hayan instalado los últimos parches para el Internet Explorer y Outlook Express.
El mensaje contiene en su código una etiqueta IFRAME, que normalmente permite la inclusión de páginas o documentos dentro de otras páginas, ya sean del mismo dominio o no.
Valiéndose de una vulnerabilidad del Internet Explorer, se logra ejecutar un script que obliga a que el navegador descargue y ejecute el archivo adjunto, superando las restricciones de seguridad que Windows impone a cualquier código cuando se usa dentro de un IFRAME.
La configuración sugerida en el siguiente artículo, evita la ejecución del script que permite la explotación de esta falla:
Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Se sugiere descargar la última actualización acumulativa para el Internet Explorer, que corrige esta falla:
MS03-048 Actualización acumulativa para IE (824145)
http://www.vsantivirus.com/vulms03-048.htm
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system\bglr32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Modificar SYSTEM.INI
Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
2. Busque lo siguiente:
[boot]
shell=explorer.exe bglr32.exe
y déjelo así:
[boot]
shell=explorer.exe
3. Grabe los cambios y salga del bloc de notas
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
