|
VSantivirus No. 677 - Año 6 - Miércoles 15 de mayo de 2002
JS/Fortnight.A. Infección a través de enlaces ocultos
http://www.vsantivirus.com/fortnight-a.htm
Nombre: JS/Fortnight.A
Tipo: Gusano en JavaScript
Alias: Fortnight, JS/Fortnight, EML/Fortnight, JS/Fortnight.A@m,
JS/Fortn.A
Otros nombres: Forten, Java/Forten, JS/Forten
Fecha: 14/may/02
Fuente: F-Secure
Este gusano escrito en JavaScript, aparece en mensajes con formato HTML y también en páginas Web. Una vez en la computadora de la víctima, es capaz de autoenviarse a otros usuarios.
El mensaje infectado contiene un enlace oculto a una página Web. Dicha página contiene el código verdadero del gusano. Cuando el usuario abre el mensaje para leerlo, o lo examina en el panel de vista previa, el enlace se activa a través de un control
"IFRAME" invisible.
La activación del código del virus en la página Web, ocurre debido a la explotación de una conocida vulnerabilidad en la
Máquina Virtual Java (Microsoft VM ActiveX vulnerability). Dicha falla posee desde hace
tiempo (octubre de 2000), los parches necesarios para corregirla (ver
Comentarios).
El código utiliza una cookie de nombre "TF" como marca de infección. Si la cookie no está presente, el gusano cambia la página de inicio del navegador modificando el registro de Windows. La nueva página apunta a un sitio para adultos.
Luego, el gusano reemplaza la firma por defecto del Outlook Express 5.0 por un archivo
SIGN.HTM en la carpeta "C:\Program Files" o
"C:\Archivos de programa".
Este archivo contiene el control iframe oculto que activa silenciosamente el enlace. El importante hacer notar que después de este cambio, TODOS los mensajes enviados desde la máquina infectada con el Outlook Express, contendrán este enlace oculto al sitio malicioso, y por lo tanto al código del gusano.
El gusano agrega también tres enlaces en la carpeta de Favoritos:
SEXXX. Totaly Teen
Make BIG Money
6544 Search Engines Submission
Finalmente, el gusano crea dos cookies,
"TF" y "RF". La primera, expira 14 días después, y la segunda tiene un tiempo de vida de un solo día.
Comentarios
La página Web donde el gusano original se encontraba disponible ha sido cerrada. Sin embargo, pueden surgir variantes que se valgan de la misma técnica, siendo muy fácil su modificación, así como infinita la variedad de páginas que podrían ser infectadas, en forma premeditada o no, y conteniendo el mismo gusano, o una variante del mismo.
Por esos motivos, se aconseja instalar a la brevedad posible el parche de seguridad que corrige fallas como la explotada aquí.
Esta vulnerabilidad en la Máquina Virtual Java (Microsoft VM) permite la ejecución de cualquier código en nuestra computadora, con tan sólo visitar una página Web o leer un mensaje de correo HTML. La Máquina Virtual Java, es el componente que permite la ejecución de aplicaciones Java, y a la vez, los controla, para impedir que ejecuten acciones no deseadas. Microsoft publicó en octubre de 2000, un parche para acabar con dicha vulnerabilidad, la cuál afecta a todos los sistemas que tengan instalado el Internet Explorer 4.x o 5.x (IE 5.0 y anteriores ya no son soportados por Microsoft).
Se aconseja descargar el parche de esta dirección (allí se le indica si es o no necesario el parche):
www.microsoft.com/technet/security/bulletin/MS00-075.asp
En caso de infección, utilice uno o dos antivirus al día y borre los archivos infectados. Borre también todos los mensajes infectados.
Se aconseja además quitar el panel de vista previa. Para ello, en el Outlook Express, seleccione Ver, Diseño, y desmarque
"Mostrar panel de vista previa".
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|