Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
JS/Fortnight.A. Infección a través de enlaces ocultos
 
VSantivirus No. 677 - Año 6 - Miércoles 15 de mayo de 2002

 JS/Fortnight.A. Infección a través de enlaces ocultos
http://www.vsantivirus.com/fortnight-a.htm

Nombre: JS/Fortnight.A
Tipo: Gusano en JavaScript
Alias: Fortnight, JS/Fortnight, EML/Fortnight, JS/Fortnight.A@m, JS/Fortn.A
Otros nombres: Forten, Java/Forten, JS/Forten
Fecha: 14/may/02
Fuente: F-Secure

Este gusano escrito en JavaScript, aparece en mensajes con formato HTML y también en páginas Web. Una vez en la computadora de la víctima, es capaz de autoenviarse a otros usuarios.

El mensaje infectado contiene un enlace oculto a una página Web. Dicha página contiene el código verdadero del gusano. Cuando el usuario abre el mensaje para leerlo, o lo examina en el panel de vista previa, el enlace se activa a través de un control "IFRAME" invisible.

La activación del código del virus en la página Web, ocurre debido a la explotación de una conocida vulnerabilidad en la Máquina Virtual Java (Microsoft VM ActiveX vulnerability). Dicha falla posee desde hace tiempo (octubre de 2000), los parches necesarios para corregirla (ver Comentarios).

El código utiliza una cookie de nombre "TF" como marca de infección. Si la cookie no está presente, el gusano cambia la página de inicio del navegador modificando el registro de Windows. La nueva página apunta a un sitio para adultos.

Luego, el gusano reemplaza la firma por defecto del Outlook Express 5.0 por un archivo SIGN.HTM en la carpeta "C:\Program Files" o "C:\Archivos de programa".

Este archivo contiene el control iframe oculto que activa silenciosamente el enlace. El importante hacer notar que después de este cambio, TODOS los mensajes enviados desde la máquina infectada con el Outlook Express, contendrán este enlace oculto al sitio malicioso, y por lo tanto al código del gusano.

El gusano agrega también tres enlaces en la carpeta de Favoritos:

SEXXX. Totaly Teen
Make BIG Money
6544 Search Engines Submission

Finalmente, el gusano crea dos cookies, "TF" y "RF". La primera, expira 14 días después, y la segunda tiene un tiempo de vida de un solo día.


Comentarios

La página Web donde el gusano original se encontraba disponible ha sido cerrada. Sin embargo, pueden surgir variantes que se valgan de la misma técnica, siendo muy fácil su modificación, así como infinita la variedad de páginas que podrían ser infectadas, en forma premeditada o no, y conteniendo el mismo gusano, o una variante del mismo.

Por esos motivos, se aconseja instalar a la brevedad posible el parche de seguridad que corrige fallas como la explotada aquí.

Esta vulnerabilidad en la Máquina Virtual Java (Microsoft VM) permite la ejecución de cualquier código en nuestra computadora, con tan sólo visitar una página Web o leer un mensaje de correo HTML. La Máquina Virtual Java, es el componente que permite la ejecución de aplicaciones Java, y a la vez, los controla, para impedir que ejecuten acciones no deseadas. Microsoft publicó en octubre de 2000, un parche para acabar con dicha vulnerabilidad, la cuál afecta a todos los sistemas que tengan instalado el Internet Explorer 4.x o 5.x (IE 5.0 y anteriores ya no son soportados por Microsoft).

Se aconseja descargar el parche de esta dirección (allí se le indica si es o no necesario el parche):

www.microsoft.com/technet/security/bulletin/MS00-075.asp

En caso de infección, utilice uno o dos antivirus al día y borre los archivos infectados. Borre también todos los mensajes infectados.

Se aconseja además quitar el panel de vista previa. Para ello, en el Outlook Express, seleccione Ver, Diseño, y desmarque "Mostrar panel de vista previa".


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS