Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Donghe.A. Un adjunto que se ejecuta por solo verlo
 
VSantivirus No. 681 - Año 6 - Domingo 19 de mayo de 2002

 W32/Donghe.A. Un adjunto que se ejecuta por solo verlo
http://www.vsantivirus.com/donghe-a.htm

Nombre: W32/Donghe.A
Tipo: Gusano de Internet
Alias: WORM_DONGHE.A, VBS_DONGHE.A, VBS/Donghe
Fecha: 13/may/02
Tamaño: 49,152 bytes

Nota: Es una variante anterior del W32/Hedong (VSA #677), pero con algunas fallas.

Este gusano utiliza su propio protocolo SMTP (Simple Mail Transfer Protocol), para propagarse a través del correo electrónico.

El código del virus llega como adjunto a un mensaje, y se vale de una vulnerabilidad en los cabezales del protocolo MIME (Multipurpose Internet Mail Extensions).

MIME es un protocolo creado para el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el código contenido en el cuerpo del mensaje.

En este caso, el gusano utiliza la etiqueta "Content-Type: audio/x-wav;". El ejecutable está asociado a esta etiqueta, aunque no se trata de un archivo de música. Por defecto la aplicación asignada (asociada con archivos de audio) es el Windows Media Player. Sin embargo, se ejecuta el gusano en su lugar, produciéndose la infección.

Nótese que como en el caso del Klez, no es necesario abrir ningún adjunto para que se produzca la infección. Inclusive no es visualizado el clásico clip desde el Outlook. También basta ver el mensaje en el panel de vista previa para que la infección se produzca.

El código del gusano libera un componente en Visual Basic Script (VBS), el cuál contiene las instrucciones para eliminar archivos con las siguientes extensiones:

EXE
DLL
DAT
MP3
DOC

Errores en el script impiden que esta acción se lleve a cabo, ya que el componente VBS no es liberado.

El gusano se copia a si mismo en las siguientes ubicaciones (las que correspondan de acuerdo al sistema operativo instalado):

C:\Windows\System\Exporler.exe
C:\Windows\Temp\Hello (1).EXE

o

C:\WinNT\System32\Exporler.exe
C:\WinNT\Temp\Hello (1).EXE

En el nombre "Hello (1).EXE" existe un espacio entre "Hello" y el "(1)".

El adjunto (HELLO.EXE) es ejecutado y registrado en memoria como un proceso, no siendo visible desde la lista de tareas (al pulsar CTRL+ALT+SUPR).

Luego crea varias copias de si mismo en memoria y se conecta a alguna de los siguientes servidores SMTP en Internet:

smtp.citiz.net
smtp.china.com
smtp.sina.com
smtp.263.net
smtp.sohu.com
smtp.163.net
smtp.163.com

Cuando la conexión se establece, debería crear el componente VBS, pero como vimos, falla al intentar hacerlo, por lo que no se ejecuta su rutina destructiva (pero si las demás, incluida la de propagación).

También modifica el registro de Windows:

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = "C:\WINDOWS\SYSTEM\Exporler.exe %1 %*"

Esto hace que cada vez que se ejecute cualquier programa o aplicación, el virus (EXPORLER.EXE) sea llamado antes y permanezca en memoria: 

El código del gusano contiene el siguiente texto, no mostrado por el mismo en ningún momento:

just for my father

Consejos que ayudan para no infectarse

Para disminuir los riesgos de infección, quite el panel de vista previa. En el Outlook Express, seleccione Ver, Diseño, desmarque "Mostrar panel de vista previa".


Para eliminar el gusano de un sistema infectado

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command

4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado)         "C:\WINDOWS\SYSTEM\Exporler.exe %1 %*"

5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (EXPORLER.EXE) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

"%1" %*

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Ejecute uno o más antivirus actualizados para escanear todos sus discos duros, y borre los archivos infectados.


Referencias:

VSantivirus No. 677 - 15/may/02
W32/Hedong. Borra archivos .EXE, .MP3, .DOC, .DLL y .DAT
http://www.vsantivirus.com/hedong.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS