Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Haptime.C. Infección con solo ver un mensaje
 
VSantivirus No. 460 - Año 5 - Jueves 11 de octubre 2001

Nombre: VBS/Haptime.C
Tipo: Gusano de Visual Basic Script
Alias:  VBS/Help.B, VBS.HappyTime.c, VBS_HAPTIME.C, VBS.Happytime.C, VBS_Haptime.C, VBS/Haptime.c@MM
Fecha: 10/oct/01

Es una variante del VBS/Haptime y VBS/Haptime.B. Escrito en Visual Basic Script (VBS), infecta archivos .HTM, .HTML, .VBS, .ASP, y .HTT. Es capaz de propagarse utilizando objetos MAPI, en adjuntos infectados, los que se activan incluso al verlos en el panel de vista previa.

El gusano se adjunta a todo mensaje enviado, utilizando las facilidades de texto enriquecido (formato HTML con diseño de fondo) del Outlook Express 5.x o superior.

Básicamente, el gusano utiliza un conocido fallo del Outlook Express, que le permite ejecutarse en la computadora de la víctima, sin necesidad de que el usuario afectado abra ningún adjunto.

Esta falla, conocida como "Scriptlet.TypLib", ocurre porque determinado control de ActiveX, está incorrectamente marcado como "seguro para scripting". Esto hace que pueda ser llamado por el Internet Explorer, sin pedir la autorización del usuario.

El parche se encuentra disponible en: http://www.microsoft.com/technet/ie/tools/scrpteye.asp

También puede evitarse su acción, si la seguridad del IE5 es puesta en ALTA. Para ello, vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Tenga en cuenta que algunos sitios tal vez no funcionen correctamente cuando usted navegue luego en ellos.

Estas acciones, evitan que este gusano pueda funcionar correctamente.

Estas facilidades son utilizadas en las plantillas de nuevos mensajes en formato HTML (texto enriquecido), lo que permite el cambio de fondos y letras usadas en la confección de los nuevos mensajes.

El gusano intenta replicarse configurando un código HTML infectado como la página por defecto para estos mensajes en el Outlook Express. Esto hace que el virus se propague con cada nuevo mensaje creado con esa plantilla, en una acción muy similar a la del virus KakWorm (ver VSAntivirus 101 y 157).

El gusano modifica el papel tapiz por defecto del escritorio de Windows, para que sea mostrada una página infectada (HELP.HTM), en cada reinicio de Windows.

Para esconder esta acción, el gusano intenta usar la misma imagen de fondo existente antes de la infección.

Esto funcionará siempre que el "Active Desktop" esté habilitado (en Windows 98, "Inicio", "Configuración", "Active Desktop", "Ver como página Web" tildado).

El gusano infectará también todos los archivos .HTT del subdirectorio C:\WINDOWS\WEB. Esto ocasionará que todas las vistas HTML de las carpetas del sistema (Mi PC, Panel de Control, Impresoras, etc.) que se abren con el Explorador de Windows, sean infectadas, siempre que la opción para ver una carpeta como página Web esté habilitada (menú "Ver", opción "Cómo una pagina Web").

El gusano cambia la configuración del formato de envío de correo por defecto a HTML (Herramientas, Opciones, Enviar, Configuración de formato de envío de correo), y coloca un archivo infectado como la plantilla para los nuevos mensajes.

Es importante hacer notar que si su programa de correo o servidor de correo Web no es capaz de manejar mensajes con formato, el código del mismo es convertido en un adjunto, el cuál al ser abierto, también propagará la infección.

El gusano posee una rutina maliciosa, que se cumple cada vez que la suma del día y el mes, dan como resultado 13. Entonces, el virus es capaz de borrar todos los archivos .EXE y .DLL de la computadora infectada.

Estas fechas son:

12 de enero
11 de febrero
10 de marzo
 9 de abril
 8 de mayo
 7 de junio
 6 de julio
 5 de agosto
 4 de setiembre
 3 de octubre
 2 de noviembre
 1 de diciembre

Recomendaciones en la configuración del Outlook Express para no usar formato HTML.

Configure el Outlook Express para no enviar correo con formato HTML. Para ello, desde Herramientas, Opciones, en Enviar, desmarque "Responder a los mensajes en el formato en que se enviaron". En Configuración de formato de envío de correo, tilde "Texto sin formato", y en "Texto sin formato", marque las casillas "MIME" Codificar usando "Ninguna", y "Permitir caracteres de 8 bits en encabezados".

Para quitar el Panel de vista previa, vaya a "Ver", "Diseño" y desmarque "Mostrar panel de vista previa".

Vaya a Herramientas, Opciones, Seguridad y en "Zonas de seguridad", marque "Zona de sitios restringidos (más segura)".

Otras recomendaciones

En el Internet Explorer:

Vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Tenga en cuenta que algunos sitios tal vez no funcionen correctamente cuando usted navegue luego en ellos.

Descargue si no lo ha hecho, el parche de Microsoft para corregir la vulnerabilidad de la que se aprovecha este virus (se ejecuta sin abrir ningún adjunto): http://www.microsoft.com/technet/ie/tools/scrpteye.asp

Usuarios de Windows Me

Para limpiar el sistema en Windows Me, deberá deshabilitar la herramienta "Restaurar sistema" como se indica a continuación, y luego correr un antivirus en "Modo a prueba de fallos", iniciando la PC con la tecla CTRL pulsada hasta que aparezca la pantalla para seleccionar esta opción.

Cómo deshabilitar la herramienta "Restaurar sistema" en Windows Me

1. Pulse con el botón derecho sobre el icono Mi PC del escritorio
2. Pinche en la lengüeta "Rendimiento"
3. Pinche sobre el botón "Sistema de archivos" en "Configuración avanzada"
4. Seleccione la lengüeta "Solución de problemas"
5. Marque la casilla "Deshabilitar Restaurar sistema"
6. Pinche en el botón "Aplicar"
7. Pinche en el botón "Cerrar" de Propiedades de Sistema de archivos
8. Pinche en el botón "Cerrar" de Propiedades de Sistema
9. Cuando se le pregunte si desea reiniciar el sistema conteste que SI

De este modo la utilidad "Restaurar sistema" quedará deshabilitada

Luego reinicie la computadora en "Modo a prueba de fallos" (pulse F8 o mantenga CTRL pulsada al reiniciar la computadora), y ejecute un antivirus al día para borrar los archivos infectados.

Para volver a habilitar la herramienta "Restaurar sistema", reitere los pasos anteriores, desmarcando la casilla "Deshabilitar Restaurar sistema" en el punto 5.

Más información:

VSantivirus No. 298 - 2/may/01
VBS/Haptime (Happytime) El peligro del correo con formato 
http://www.vsantivirus.com/happytime-a.htm

VSantivirus No. 350 - 23/jun/01
VBS/Haptime.B@mm (Hapytime.B). Infecta con solo ver mensajes
http://www.vsantivirus.com/happytime-b.htm

VSantivirus No. 101 - 23/mar/00
VBS/Kakworm-A. Se propaga sin necesidad de adjuntos
http://www.vsantivirus.com/kak-a.htm

VSantivirus No. 157 - 12/dic/00
VBS/Kakworm-E. Infecta con solo verlo en vista previa
http://www.vsantivirus.com/kak-e.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS