Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Daira.A. Envío masivo, infecta documentos Word 2000
 
VSantivirus No. 785 - Año 6 - Domingo 1 de setiembre de 2002

 VBS/Daira.A. Envío masivo, infecta documentos Word 2000
http://www.vsantivirus.com/daira-a.htm

Nombre: VBS/Daira.A
Tipo: Gusano de Visual Basic Script
Alias: VBS_DAIRA.A, VBS/Daira@MM, VBS.Daira@mm, I-Worm.Matra, VBS/SSIWG2.A.Worm, VBS.SSIWG2 worm.
Fecha: 30/ago/02
Tamaño: 15 Kb aprox.
Plataforma: Windows 32-bits
Fuente: TrendMicro

Este gusano se propaga en forma masiva a través del Microsoft Outlook y Outlook Express, además de infectar documentos de Word 2000.

Escrito en Visual Basic Script, el gusano consta de dos partes. Una es la encargada del envío masivo a través del correo electrónico. La otra se encarga de la infección de documentos de Word 2000. En su código, esta segunda parte aparece comentada por el propio autor del gusano.

Envío masivo

Cuando el gusano se ejecuta, el mismo crea una copia de si mismo en el directorio raíz de la unidad C con el siguiente nombre:

C:\MATSUDARIA_V

Este archivo es creado con los atributos de oculto (+H) activados, no visible desde Windows en una configuración estándar.

El gusano también crea otra copia en el directorio System de Windows:

C:\Windows\System\W32BACKUP.DLL.VBS

Este segundo archivo también es creado con el atributo de oculto, y además posee una doble extensión.

El camino C:\Windows\System está escrito en su código.

Luego de ello, el gusano crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
w32 Backup = C:\WINDOWS\SYSTEM\w32backup.dll.vbs

También se crea una copia del gusano con el siguiente nombre:

C:\Windows\System\VIM.TXT.VBS

Esta última copia es usada para el envío masivo a través del correo electrónico.

El mensaje enviado tiene estas características:

Asunto: Very Important Message
 Texto: Here is the document you were waiting for
 Datos adjuntos: VIM.txt.vbs

La verdadera extensión (.VBS) no es visible si la configuración de Windows es la que trae por defecto.

Infección de Word 2000 (Normal.dot)

El gusano crea otra copia de si mismo en el raíz de la unidad C, con el atributo de oculto:

C:\MATSUDARIA_M

Esta copia contiene la parte comentada del VBS sin comentarios, y sin el apóstrofe precedente.

El gusano intenta copiar el código del archivo MATSUDARIA_M en el código de macro de la plantilla global de Word (Normal.dot). Para evitar volver a infectar el mismo documento más de una vez, el gusano examina si el nombre del módulo es "Matsudaira".

El gusano actúa interceptando el auto macro Document_Open que se ejecuta al abrirse un documento.

Cómo se explicó antes, este archivo creado por el gusano, contiene la parte que infecta los macros con comentarios. Sin embargo, cuando el gusano se activa desde el macro infectado, su comportamiento es diferente al indicado en los comentarios.

Esta parte del gusano intenta borrar los demás macros en el documento activo, siempre que la siguiente entrada en el registro exista:

HKEY_CURRENT_USER\Software\Microsoft\Office\9.0
\Word\Security
Level = ""

HKEY_CLASSES_ROOT\VBSFile\
ScriptEngine = ""

El gusano deshabilita la opción Herramientas, Macro, y los siguientes comandos habilitados desde el teclado:

Alt + F8 (Visor de macros)
Alt + F11 (Editor de Visual Basic)

También crea el siguiente archivo:

C:\Windows\System\COMDLG16.SCR

Este archivo examina la presencia de la siguiente entrada en el registro:

HKLM\Software\Microsoft\Office\9.0\Word\General Check
Boot = "0"

La variable 'Boot' aumenta en uno cada vez que el archivo COMDLG16.SCR es ejecutado. Cuando este valor es mayor a '18', entonces modifica el archivo AUTOEXEC.BAT con el código para mostrar el siguiente código al reiniciarse la computadora:

Matsudaira
Virus
I-Worm/VBS/W2000M/Matsudaira
(c) 2001 by Tokugawa Ieyasu
Press any key to continue

El gusano también crea la siguiente entrada en el registro que ejecuta al archivo COMDLG16.SCR en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
comdlg = C:\Windows\System\comdlg16.src

También examina si el archivo W32BACKUP.DLL.SCR existe en el directorio System de Windows.

Si no existe, lo crea. El archivo contiene el código del macro con el comentario, o precedido por un apóstrofe. También agrega la siguiente entrada en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
w32 Backup = C:\WINDOWS\SYSTEM\w32backup.dll.vbs

Esto ejecuta dicho archivo en cada reinicio del sistema.

También crea el archivo WIN32DLL.SRC en el mismo directorio donde se encuentre el documento que es abierto. Este archivo es el responsable de copiar el código del gusano en el documento activo.

Para prevenir la reinfección el gusano examina si el nombre del módulo del macro es "Matsudaira". Otra entrada en el registro es creada para que el archivo WIN32DLL.SRC se ejecute en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
InfDoc = %ActiveDocumentPath%\win32dll.src

La variable '%ActiveDocumentPath%' representa el camino donde se encuentra el documento actual de Word 2000 que ha sido abierto. Esta entrada es borrada después de la infección al documento activo.

El gusano cambia el nivel de seguridad de Word a Baja, modificando la siguiente entrada en el registro:

HKCU\Software\Microsoft\Office\9.0\Word\Security
Level = "1"

Esto permite la ejecución de macros sin presentar advertencia alguna al usuario.

El gusano también agrega o modifica las siguientes entradas en el registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = "0"

Esto oculta a la vista del explorador de Windows los archivos con atributos de oculto, habilitando la opción "Ocultar archivos protegidos del sistema operativo", aún cuando el usuario la haya deshabilitado (por defecto Windows la tiene habilitada).

HKCUR\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = "1"

Esto oculta la extensión de ciertos archivos, habilitando la opción "Ocultar extensiones para los tipos de archivos conocidos", aún cuando el usuario la haya deshabilitado (por defecto Windows la tiene habilitada).

HKCR\VBSFile\Shell\Edit\Command
(Predeterminado) = "C:\WINDOWS\WScript.exe "%1" %*"

HKCR\VBSFile\Shell\Print\Command
(Predeterminado) = "C:\WINDOWS\WScript.exe "%1" %*"

HKLM\Software\CLASSES\VBSFile\DefaultIcon
(Predeterminado) = "shell32.dll,-152"

HKLM\Software\CLASSES\VBSFile\Shell\Edit\Command
(Predeterminado) = "C:\WINDOWS\WScript.exe "%1" %*"

HKLM\Software\CLASSES\VBSFile\Shell\Print\Command
(Predeterminado) = "C:\WINDOWS\WScript.exe "%1" %*"

HKEY_LOCAL_MACHINE\Software\CLASSES\.src

HKEY_LOCAL_MACHINE\Software\CLASSES\.src
"VBSFile"

HKEY_USERS\.DEFAULT\Software\Microsoft\
Windows Script Host

HKEY_USERS\.DEFAULT\Software\Microsoft\
Windows Script Host\Settings

HKEY_USERS\.DEFAULT\Software\Microsoft\
Office\9.0\Word\Security

HKEY_USERS\.DEFAULT\Software\Microsoft\
Office\9.0\Word\Secu3


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:

w32 Backup
comdlg

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir cada una de las siguientes ramas y borre en todas el último valor:

HKEY_LOCAL_MACHINE\Software\CLASSES\.src

Borre .SRC

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows Script Host

Borre 'Windows Script Host'

HKEY_USERS\.DEFAULT\Software\Microsoft\
Office\9.0\Word\Security

HKEY_USERS\.DEFAULT\Software\Microsoft\
Office\9.0\Word\Secu3

Borre 'Security' y 'Secu3'

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
VBSFile
DefaultIcon

6. En el panel de la derecha, pinche en (Predeterminado) y cambie el contenido "shell32.dll,-152" por el siguiente:

"C:\WINDOWS\WScript.exe,2"

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\VBSFile
\Shell
\Edit
\Command

8. En el panel de la derecha, pinche en (Predeterminado) y cambie el contenido "C:\WINDOWS\WScript.exe "%1" %*" por el siguiente:

C:\WINDOWS\Notepad.exe %1

9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\VBSFile
\Shell
\Print
\Command

10. En el panel de la derecha, pinche en (Predeterminado) y cambie el contenido "C:\WINDOWS\WScript.exe "%1" %*" por el siguiente:

C:\WINDOWS\Notepad.exe %1

11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Medidas complementarias con los macros

En Word 2000 y XP, vaya a Herramientas, Macro, Seguridad, y cambie el nivel a Alto.


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS