Original: Carta ejemplo.doc
Adjunto: Carta ejemplo.SCR
Asunto del mensaje: Carta ejemplo

El gusano posee la capacidad de autoejecutarse por solo leer el mensaje o al verlo en el panel de la vista previa. Para ello se aprovecha de la vulnerabilidad llamada "Incorrect MIME Header vulnerability (MS01-020)", que afecta las versiones 5.01 y 5.5 de Outlook y Outlook Express, si el sistema no tiene el parche correspondiente.

MIME es un protocolo creado para el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el código contenido en el cuerpo del mensaje. Una manipulación de estas etiquetas le hacen creer al Explorer que se trata de un archivo de sonido o imagen, cuando en realidad se trata de un ejecutable.

La vulnerabilidad "Incorrect MIME Header" es una de varias que permite la ejecución del contenido del adjunto de un mensaje, con solo leerlo (sin abrir archivo adjunto alguno).

Más información en "Grave vulnerabilidad en extensiones MIME en Internet Explorer",
http://www.vsantivirus.com/vulms01-020.htm.

El cuerpo del mensaje contiene el texto "Flash File" y el icono del adjunto es el asociado a los archivos "Shockwave Flash file" por defecto:

Cuando el adjunto se ejecuta, el gusano se copia a si mismo en la carpeta Windows\System con el mismo nombre.

Luego, crea la siguiente entrada en el registro para poder autoejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
ZaCker = C:\Windows\System\[nombre del archivo]

También copia o crea este archivo:

C:\Windows\System\WarIII.eml

'C:\Windows\System' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

La variante A del gusano (ver "W32/Holar. Usa KaZaa, redes domésticas y MSN Messenger", http://www.vsantivirus.com/holar.htm), copiaba también el archivo "CmdServ.exe", el cuál es un servidor Web. Dicha versión creaba además esta clave en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
MyLife = C:\Windows\System\CmdServ.exe

La variante B también crea la clave, pero no copia dicho archivo. En cambio, copia su código en archivos .HTM y .HTML, el cuál contiene una etiqueta IFRAME que se vincula al archivo "C:\Windows\System\WarIII.eml", que es una copia del propio gusano en formato de mensaje electrónico.

También son creadas estas claves, aparentemente solo como "marca" interna de la ejecución del gusano:

HKEY_LOCAL_MACHINE\Software\Microsoft\HolyWar
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\HolyWar

Una vez activo, el gusano intenta propagarse vía e-mail, recursos compartidos en red y páginas Web (archivos .HTM y .HTML infectados).

Utiliza direcciones de la libreta del Outlook y Outlook Express, de la lista de contactos del MSN Messenger y de archivos .HTM y .HTML encontrados en la computadora infectada (etiqueta mailto:).

El virus posee una rutina destructiva que borra el contenido de todos los archivos del disco duro actual con las siguientes extensiones:

MDB, XLS, DOC, SWF, PPT, JPG, PPS, MPEG, ZIP, TXT, MPG, AVI, RM, MDE, FRM, PHP, PDF y RAR

Estos archivos son sobrescritos con el texto "Bye" (repetido hasta ocupar todo el archivo). Esto hace imposible la recuperación de los archivos así modificados.


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos por el gusano son irrecuperables, debiendo ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

3. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre las siguientes entradas:

ZaCker
MyLife

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
04/dic/02 - Alias: W32/Holar-B, I-Worm.Warhol
04/dic/02 - Tipos de archivos sobrescritos



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com