Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/BlueMail.A. Capaz de infectar con solo ver el mensaje
 
VSantivirus No. 437 - Año 5 - Martes 18 de setiembre 2001

Nombre: VBS/BlueMail.A
Tipo: Gusano de Visual Basic Script
Alias: VBS/BlueMail.A@mm
Fecha: 11/set/01
Tamaño: 9,952 bytes

Este gusano se aprovecha de la vieja vulnerabilidad "scriptlet.typlib/Eyedog", que permite se produzca una infección por el simple acto de ver un mensaje, incluida la vista previa, sin necesidad de abrir ningún adjunto.

Es un script incluido en el código de un mensaje con formato HTML y estas características:

De: Microsoft-FunnyMail etc.. 
Asunto: FW: Remember Windows 3.1?
Texto:

-------------- This is a forwarded message -------------- 
Original message From: Microsoft-FunnyMail 
>>
>> This funny joke uses Microsoft© ActiveX© multimedia. You should 
>> answer 'YES' to the question in front of you now. If a blue-coloured 
>> window doesn't appear even if you selected 'YES', please do the following: 
>> Right click the Internet Explorer's icon on your desktop and choose 'properties'. 
>> Choose 'Security', click once 'Internet' and then 'Custom Level...' 
>> Next choose all the ActiveX© buttons as 'enabled' and press 'OK' 
>> Also press 'OK' to close the Explorer options panel. Now you should have 
>> the ActiveX© multimedia features enabled...After all, there is not much 
>> use of these great features if they are disabled ;-) 
>> When ready, click this link to try again. Have fun !

Simplemente leyendo el mensaje, o visualizándolo en el panel de vista previa en un sistema anterior al Internet Explorer 5.5 sin el parche correspondiente (5.5, 5.5 SP1 y 6.0 ya lo incluyen), el gusano se activará, copiándose a si mismo en el siguiente archivo:

C:\Windows\System\RUNDLL32.HTA

También modifica el nombre del usuario registrado de Windows, cambiando la siguiente clave del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion
RegisteredOwner=H0axley

Para asegurarse que su rutina de envío por correo se ejecutará una sola vez, el gusano genera la siguiente clave:

HKEY_LOCAL_MACHINE\Software\
Outlook.DeepBlue=Outlook.DeepBlue by H0axley

Si este valor no está presente, el gusano se envía a todos los contactos de la libreta de direcciones del Outlook.

Busca también el siguiente archivo (no presente en todas las configuraciones de Windows):

INETPUB\WWWROOT\INDEX.HTML

Si lo encuentra, se copia a si mismo en el siguiente archivo:

INETPUB\WWWROOT\SAVE0001.HTML

Genera entonces el siguiente archivo infectado:

INETPUB\WWWROOT\IMPORTANT.HTML

También crea este archivo de texto:

INETPUB\WWWROOT\README.txt

El mismo contiene este texto:

Outlook.DeepBlue Version 1.0 by H0axley

Crea luego un nuevo archivo INETPUB\WWWROOT\INDEX.HTML con el siguiente texto:

Temporarily Closed
<!-- This server is infected by 'Outlook.DeepBlue' virus by H0axley (Thanks to Zulu) -->
We are sorry but this page is temporarily closed.We are testing the new DeepBlue&copy; system.
Would you like to read some very funny <a href=http://vil.nai.com/vil/IMPORTANT.HTML>jokes</a> ?
(NOTE: This link doesn't work if you don't enable Microsoft&copy; 
ActiveX&copy; multimedia when asked to do so ;-)

El gusano crea entonces una ventana azul con el título "Microsoft Funnymail (Powered by Outlook.DeepBlue by H0axley)" y el siguiente texto:

Windows
A fatal exception 0E has occured at F0AD:42494C4C
Press any key to continue.

Para eliminarlo de un sistema infectado, ejecute un antivirus actualizado y borre los archivos involucrados:

C:\Windows\System\RUNDLL32.HTA

Y si existen:

INETPUB\WWWROOT\SAVE0001.HTML
INETPUB\WWWROOT\IMPORTANT.HTML
INETPUB\WWWROOT\README.txt

Deberá recuperar o crear nuevamente el archivo INETPUB\WWWROOT\INDEX.HTML (si existe).

Luego, pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion

Pinche sobre la carpeta "CurrentVersion". En el panel de la derecha, busque y modifique la entrada "RegisteredOwner" por el nombre del usuario registrado.

Use "Registro", "Salir" para salir del editor y confirmar los cambios.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS


Glosario:

Scriptlet.TypLib/Eyedog - Son dos controles de ActiveX, que están incorrectamente marcados como "seguros para scripting", y por consiguiente pueden ser llamados por el Internet Explorer. SCRIPTLET.TYPLIB es un control usado por diseñadores para generar librerías para componentes de Windows Script. EYEDOG es usado por el software de diagnóstico de Windows. Son afectados el Internet Explorer 4.0 y 5.0, y los parches están disponibles en: http://www.microsoft.com/technet/ie/tools/scrpteye.asp

También puede evitarse su acción, si la seguridad del IE5 es puesta en ALTA. Para ello, vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Tenga en cuenta que algunos sitios tal vez no funcionen correctamente cuando usted navegue luego en ellos.


Fuente: Networks Associates
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS