|
VSantivirus No. 713 - Año 6 - Jueves 20 de junio de 2002
VBS/Help.C. Usa fondo HTML de los mensajes para infectar
http://www.vsantivirus.com/help-c.htm
Nombre: VBS/Help.C
Tipo: Gusano de Visual Basic Script
Alias: VBS/Help.C, VBS.HappyTime.c, VBS_HAPTIME.C, VBS.Happytime.C, VBS_Haptime.C, VBS/Haptime.c@MM
Fecha: 19/jun/02
Tamaño: 7069 bytes
El gusano VBS/Help.C (VBS.Haptime.D), escrito en Visual Basic Script (VBS), infecta archivos
.HTM, .HTML, .VBS, .ASP, y .HTT. Es capaz de propagarse utilizando objetos MAPI, en adjuntos infectados, los que se activan incluso al verlos en el panel de vista previa.
El gusano se adjunta a todo mensaje enviado, utilizando las facilidades de texto enriquecido (formato HTML con diseño de fondo) del Outlook Express.
Es una variante del VBS.Haptime.A@mm (ver VBS/Haptime), y su principal diferencia es el nombre del archivo adjunto.
Básicamente, el gusano utiliza un conocido fallo del Outlook Express, que le permite ejecutarse en la computadora de la víctima, sin necesidad de que el usuario afectado abra ningún adjunto.
Esta falla, conocida como "Scriptlet.TypLib", ocurre porque determinado control de ActiveX, está incorrectamente marcado como "seguro para scripting". Esto hace que pueda ser llamado por el Internet Explorer, sin pedir la autorización del usuario.
El parche se encuentra disponible en: http://www.microsoft.com/technet/ie/tools/scrpteye.asp
También puede evitarse su acción, si la seguridad del IE5 es puesta en ALTA. Para ello, vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Tenga en cuenta que algunos sitios tal vez no funcionen correctamente cuando usted navegue luego en ellos.
Estas acciones, evitan que este gusano pueda funcionar correctamente.
Estas facilidades son utilizadas en las plantillas de nuevos mensajes en formato HTML (texto enriquecido), lo que permite el cambio de fondos y letras usadas en la confección de los nuevos mensajes.
El gusano intenta replicarse configurando un código HTML infectado como la página por defecto para estos mensajes en el Outlook Express. Esto hace que el virus se propague con cada nuevo mensaje creado con esa plantilla, en una acción muy similar a la del virus
KakWorm.
Cuando esto ocurre, el virus crea los siguientes archivos:
Pagina.htm
Virus.hta
Virus.vbs
Virus.htm
"Pagina.htm" contiene el diseño del fondo,
"Virus.hta" y "Virus.vbs" son copias del virus, copiados en la carpeta
\Windows, y "Virus.htm" es un archivo temporal creado en el raíz de la unidad
C, y borrado si el archivo "Virus.vbs" se está ejecutando.
Luego, el gusano busca todos los archivos .HTM, .VBS, .ASP, .HTT en todas las carpetas de todos las unidades de disco locales, o mapeadas en red.
Por cada archivo encontrado, el gusano intenta localizar las cadenas tipo
"mailto:<dirección de correo>", para capturar estas direcciones, y enviar un mensaje infectado.
Los archivos .HTM, .VBS, .ASP y .HTT encontrados, también serán infectados. El nombre de estos archivos se guarda en la siguiente clave del registro:
HKEY_CURRENT_USER\Software\Help\FileName
También modifica el registro de Windows, agregando la siguiente clave:
HKEY_CURRENT_USER\Software\Help\Count
El valor "Count" es actualizado con la cantidad de archivos infectados.
Cuando esta cantidad llega a determinada cantidad de infecciones, el script realiza una de estas dos acciones (A o B):
A. Busca en los mensajes presentes en la Bandeja de entrada del Outlook, y envía a todos ellos un mensaje con un adjunto infectado y el cuerpo del mensaje en blanco.
B. Envía un mensaje a toda la lista de direcciones de la libreta del Outlook, con el cuerpo del mensaje en blanco.
El gusano modifica el papel tapiz por defecto del escritorio de Windows, para que sea mostrada una página infectada
(VIRUS.HTM), en cada reinicio de Windows. Para ello cambia la siguiente clave del registro:
HKCU\Control Panel\desktop
wallPaper=C:\WINDOWS\Virus.htm
Para esconder esta acción, el gusano intenta usar la misma imagen de fondo existente antes de la infección.
Esto funcionará siempre que el "Active Desktop" esté habilitado (en Windows 98, "Inicio", "Configuración", "Active Desktop", "Ver como página Web" tildado).
El gusano infectará también todos los archivos .HTT del subdirectorio
C:\WINDOWS\WEB. Esto ocasionará que todas las vistas HTML de las carpetas del sistema (Mi PC, Panel de Control, Impresoras, etc.) que se abren con el Explorador de Windows, sean infectadas, siempre que la opción para ver una carpeta como página Web esté habilitada (menú "Ver", opción "Cómo una pagina Web").
El gusano cambia la configuración del formato de envío de correo por defecto a HTML (Herramientas, Opciones, Enviar, Configuración de formato de envío de correo), y coloca el archivo
C:\Windows\Pagina.htm como la plantilla para los nuevos mensajes.
Para ello, modifica las siguientes claves del registro:
HKCU\Identities\[Identificador]\Software\Microsoft\Outlook Express\5.0\Mail
Message Send HTML="1"
Compose Use Stationery="1"
Stationery Name="C:\WINDOWS\Pagina.htm"
El [Identificador] es diferente para cada usuario, y es tomado por el virus de la siguiente clave del registro:
HKCU\Identities\Default User ID
Es importante hacer notar que si su programa de correo o servidor de correo Web no es capaz de manejar mensajes con formato, el código del mismo es convertido en un adjunto, el cuál al ser abierto, también propagará la infección.
Como sacar el virus de un sistema infectado en forma manual
1. Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.
2. Borre los archivos .HTT de la carpeta C:\Windows\Web. Para ello, desde Inicio, Buscar, Archivos o carpetas, seleccione en "Buscar en:" lo siguiente:
C:\Windows\Web
3. En "Nombre", escriba *.HTT, luego borre cada uno de los archivos
*.HTT que aparezcan en la carpeta C:\Windows\Web.
4. Vacíe la Papelera de reciclaje (botón derecho sobre ella, "Vaciar la papelera de reciclaje".
5. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Help
7. Pinche sobre la carpeta "Help" y luego borre las siguientes carpetas:
Count
FileName
8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Control Panel
\desktop
9. Pinche sobre la carpeta "DESKTOP". En el panel de la derecha busque algo como:
wallPaper
"C:\WINDOWS\Virus.htm"
10. Pinche dos veces sobre el nombre "wallPaper" y borre el contenido de "Información del valor"
("C:\WINDOWS\Virus.htm"). Confirme los cambios. Debería quedar algo así:
wallPaper ""
11. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Identities
\[Identificador Ej: {3BA26F68-D213-13E2-AA78-0040335886EE}]
\Software
\Microsoft
\Outlook Express
\5.0
\Mail
12. Pinche sobre la carpeta "Mail". En el panel de la derecha busque las siguientes claves:
Compose Use Stationery
"1"
Message Send HTML "1"
Stationery Name "C:\Windows\Pagina.htm"
13. Pinche dos veces sobre cada uno de los nombres
("Compose Use Stationery", "Message Send HTML", "Stationery
Name"), y modifique el contenido de "Información del valor" de modo que el resultado sea:
Compose Use Stationery
"0"
Message Send HTML "0"
Stationery Name ""
14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Recomendaciones en la configuración del Outlook Express para no usar formato HTML.
Configure el Outlook Express para no enviar correo con formato HTML. Para ello, desde Herramientas, Opciones, en Enviar, desmarque "Responder a los mensajes en el formato en que se enviaron". En Configuración de formato de envío de correo, tilde "Texto sin formato", y en "Texto sin formato", marque las casillas "MIME" Codificar usando "Ninguna", y "Permitir caracteres de 8 bits en encabezados".
Para quitar el Panel de vista previa, vaya a "Ver", "Diseño" y desmarque "Mostrar panel de vista previa".
Vaya a Herramientas, Opciones, Seguridad y en "Zonas de seguridad", marque "Zona de sitios restringidos (más segura)".
Otras recomendaciones
En el Internet Explorer:
Vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Tenga en cuenta que algunos sitios tal vez no funcionen correctamente cuando usted navegue luego en ellos.
Descargue si no lo ha hecho, el parche de Microsoft para corregir la vulnerabilidad de la que se aprovecha este virus (se ejecuta sin abrir ningún adjunto):
http://www.microsoft.com/technet/ie/tools/scrpteye.asp
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Sobre el registro de Windows
Se recomienda realizar una copia del registro cada vez que se pretenda modificarlo. Cambios incorrectos o errores, pueden ocasionar el bloqueo o imposibilidad de reiniciar Windows. Para ello, al entrar en REGEDIT, marque "Mi PC" en la ventana de la izquierda, y seleccione el menú "Registro", "Exportar archivo del registro". Guarde el archivo generado.
Para recuperar el registro, si puede ingresar a Windows, ejecute REGEDIT, seleccione "Registro", "Importar archivo del registro" y seleccione el archivo guardado antes.
Para restaurar el Registro desde MS-DOS.
1. Haga clic en Inicio y después haga clic en Apagar el sistema.
2. Haga clic en Reiniciar en modo MS-DOS y después en Aceptar (o pulse CTRL o F8 al reiniciar la computadora para entrar en el menú de inicio y seleccionar "Sólo símbolo del Sistema").
3. Escriba en la línea de comandos lo siguiente:
scanreg /restore
4. Seleccione una versión del registro anterior a la actual, y reinicie su equipo.
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones
.VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Referencias:
VBS/Haptime. El peligro del correo con formato HTML
http://www.vsantivirus.com/happytime-a.htm
VBS/Kakworm-A. Se propaga sin necesidad de adjuntos
http://www.vsantivirus.com/kak-a.htm
VBS/Kakworm-E. Infecta con solo verlo en vista previa
http://www.vsantivirus.com/kak-e.htm
Glosario:
MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|