| |
VSantivirus No. 865 - Año 7 - Martes 19 de noviembre de 2002
VSantivirus No. 866 - Año 7 - Miércoles 20 noviembre de 2002
W32/Brid.B (Braid.B). Elimina antivirus en memoria
http://www.vsantivirus.com/brid-b.htm
Nombre: W32/Brid.B (Braid.B)
Tipo: Gusano de Internet
Alias: Win32.Braid.B, W32/Braid.b@MM, BRID.B, Win32/Braid.B.Worm, WORM_BRID.B, W32.Brid.B@mm, I-Worm.Bridex.b, W32.Brid.B@mm
Tamaño: 90,111 bytes
Plataforma: Windows 95, 98, Me y XP
Fecha: 18/nov/02
Se trata de una variante del "W32/Brid"
(conocido también como Braid, Bradex o Bridex), también escrito en Visual Basic 6.0.
Contiene su propio motor SMTP que usa para enviarse a si mismo a direcciones electrónicas recolectadas en el sistema infectado.
Para ocultar la identidad del remitente, manipula el campo "De:" para que aparezca una dirección falsa.
Además, saca provecho de una conocida vulnerabilidad del Internet Explorer para ejecutarse si el mensaje infectado es leído o visualizado en el panel de vista previa, sin necesidad de abrir el adjunto.
En su acción cierra los procesos en memoria de varios productos antivirus y cortafuegos conocidos. También termina con todos los procesos
EXPLORER.EXE en memoria (Windows), eliminando temporalmente los iconos del escritorio, dejando limpia la barra de inicio.
Por un error, solo parece funcionar en Windows 9x (95, 98, Me y XP). Aún así puede llegar a provocar inestabilidad en el sistema infectado.
El mensaje que contiene el gusano presenta estas características (el nombre y dirección del campo "De:" son falsos, mostrándose como el "Registered Owner" --Dueño registrado-- de la computadora infectada --a menos que no pueda obtener este dato del
registro (RegisteredOwner)--. En la mayoría de los clientes de correo la verdadera dirección permanece oculta, a menos que se use botón derecho, propiedades. Lo mismo figura en el campo "Para:"):
Asunto:
[Nombre de la compañía en el registro]
Datos adjuntos:
README.EXE
Texto del mensaje:
Hello,
My name is donkey-virus.
I wish you a merry Christmas and happy new year.
Thank you.
El "Asunto:" puede aparecer vacío, si no existe el nombre de la compañía en el registro (RegisteredOrganization).
Estos datos son tomados de la siguiente clave:
HKLM\Software\Microsoft\Windows\CurrentVersion
Cómo dijimos antes, el gusano posee la capacidad de autoejecutarse por solo leer el mensaje o al verlo en el panel de la vista previa. Para ello se aprovecha de la vulnerabilidad llamada "Incorrect MIME Header vulnerability (MS01-020)", que afecta las versiones 5.01 y 5.5 de Outlook y Outlook Express, si el sistema no tiene el parche correspondiente.
MIME es un protocolo creado para el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el código contenido en el cuerpo del mensaje. Una manipulación de estas etiquetas le hacen creer al Explorer que se trata de un archivo de sonido o imagen, cuando en realidad se trata de un ejecutable.
La vulnerabilidad "Incorrect MIME Header" es una de varias que permite la ejecución del contenido del adjunto de un mensaje, con solo leerlo (sin abrir archivo adjunto alguno).
Más información en "Grave vulnerabilidad en extensiones MIME en Internet Explorer",
http://www.vsantivirus.com/vulms01-020.htm.
Esta versión, a diferencia de la anterior (W32/Brid), no libera ningún otro virus en el sistema.
Solo copia los siguientes archivos en la carpeta "Escritorio" de "Windows" (definidas por la variable %Desktop% en el registro):
C:\WINDOWS\Escritorio\MADAM.EML
C:\WINDOWS\Escritorio\MADAM.EXE
El archivo .EML es una copia del mensaje que utiliza para propagarse, y el .EXE el propio
gusano, con el icono del Internet Explorer.
Cuando se ejecuta, el gusano muestra la imagen de una pareja de fondo y el texto: "10 Ways to Attract a Man" junto a un botón de [Exit].
![Cuando se ejecuta, el gusano muestra la imagen de una pareja de fondo y el texto: "10 Ways to Attract a Man" junto a un botón de [Exit]](brid-b.png)
El virus examina la computadora infectada en busca de archivos
.HTM, .HTML (páginas Web) y .DBX (bases de mensajes del Outlook Express), de donde extrae las direcciones de correo a las que luego se envía, en un mensaje idéntico al descripto arriba.
La otra información necesaria para usar su propio servidor SMTP (direcciones DNS, nombre de dominio, etc.), las extrae del registro de Windows.
Mientras el gusano está en memoria, todos los demás procesos de Windows cuyos nombres coincidan con algunos caracteres incluidos en una lista interna del propio virus, son matados.
La lista mencionada incluye parte de los nombres de conocidos antivirus, cortafuegos y otras herramientas de seguridad, por ejemplo:
anti
dbg
debug
fire
iom
mon
prot
secu
view
vir
Ningún archivo de estos productos es borrado o alterado. Una vez que el gusano no esté en memoria, los antivirus y cortafuegos involucrados serán totalmente operativos.
El virus parece no ejecutarse correctamente ni en Windows 2000 ni en NT.
Reparación manual
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecútelos en modo escaneo, revisando todos sus discos duros. Sugerimos hacerlo con F-Prot, que es gratuito para uso personal:
Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm
3. Borre los archivos detectados como infectados.
Borrar los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\WINDOWS\Escritorio\MADAM.EML
C:\WINDOWS\Escritorio\MADAM.EXE
C:\Windows\TEMP\Brade0.tmp
C:\Windows\TEMP\Brade1.tmp
Borre también los mensajes electrónicos similares al descripto antes (incluido el adjunto README.EXE).
Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.
Actualizar Internet Explorer
Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:
Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm
O instale el IE 6.0, Service Pack 1 (SP1):
Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
Descripción actualizada el 20/nov/02
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
