Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

JS/Coolsite.A. Un mensaje con enlace a página maliciosa
 
VSantivirus No. 529 - Año 6 - Miércoles 19 diciembre de 2001

Nombre: JS/Coolsite.A
Tipo: Gusano de Java Script
Alias: JS/Coolsite@MM, JS.Coolsite@mm, JS/Coolsite.A@mm, Coolsite.A@mm, EML/Coolsite-mm, JS_Exception.Gen, JS/IEStart, JS.Exception.Exploit, UNK/Coolsite@MM, Coolsite, Cool site, Celebxx
Fecha: 18/dic/01

JS/Coolsite.A es un gusano capaz de enviarse en forma masiva, y escrito en Java Script, que puede presentarse en nuestras casillas con las siguientes características:

Asunto: Hi!!
Texto: Hi. I found cool site! http://celebxx.cjb.net It's really cool!

Si el usuario abre el enlace indicado, se ejecuta el código del gusano embebido en la página, el cuál se aprovecha de una vulnerabilidad del Internet Explorer que permite la ejecución automática de determinado contenido.

A partir de entonces, el gusano realiza las siguientes acciones:

1. Se produce la apertura de numerosas ventanas pop-ups con contenido pornográfico. Algunas de estas ventanas contienen otros troyanos (scripts), como JS/IEStart y JS/NoClose.

2. La página de inicio del Internet Explorer es cambiada por la siguiente, la cuál enlaza a un sitio con contenido pornográfico: http://[XXXXX].com/~mic124/sex.htm (las [XXXXX] representan una dirección vigente).

Para ello se utiliza el contenido del siguiente valor en el registro:

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page

3. Se envían mensajes con las mismas características del recibido antes, a todas las direcciones electrónicas recolectadas de los mensajes existentes en la carpeta de "Elementos enviados" del Outlook.

4. La parte del gusano copiada temporalmente en la máquina infectada, se borra a si mismo.

La página que contiene el gusano, actualmente ha sido deshabilitada, por lo que no se considera este gusano un riesgo. Sin embargo, como nada impide que en el futuro surjan otras páginas con mensajes diferentes, que usen la misma técnica, se aconseja instalar el parche que soluciona una vieja vulnerabilidad en la máquina virtual de Java de Microsoft (si corresponde).

Soluciones

a. Instalar el parche de seguridad que corrige esta falla.

Esta vulnerabilidad en la Máquina Virtual Java (Microsoft VM) permite la ejecución de cualquier código en nuestra computadora, con tan sólo visitar una página web o leer un mensaje de correo HTML. La Máquina Virtual Java, es el componente que permite la ejecución de aplicaciones Java, y a la vez, los controla, para impedir que ejecuten acciones no deseadas. Microsoft publicó en octubre de 2000, un parche para acabar con dicha vulnerabilidad, la cuál afecta a todos los sistemas que tengan instalado el Internet Explorer 4.x o 5.x (IE 5.0 y anteriores ya no son soportados por Microsoft).

Se aconseja descargar el parche de esta dirección (allí se le indica si es o no necesario el parche):

www.microsoft.com/technet/security/bulletin/MS00-075.asp

b. Para eliminar la página de inicio que coloca el gusano, abra Internet Explorer y desde Herramientas, Opciones de Internet, General, Página de inicio, cámbiela por una de su preferencia.


Fuentes: F-Secure, Network Associates, Norman, Symantec

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS