Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/Homepage.B@mm (Batlle desnudo). El Homepage uruguayo
 
VSantivirus No. 313 - Año 5 - Jueves 17 de mayo de 2001

Nombre: VBS/Homepage.B@mm (Batlle)
Alias: VBS.VBSWG2.AA@mm, VBS.VBSWG2.Y@mm, VBS.VBSWG2, VBS.HomePage, I-Worm.Homepage 
Fecha: 15/may/01
Tamaño: 2,215 bytes

Este virus, presumiblemente de origen uruguayo, se ha propagado por bastantes computadoras en las últimas horas. En este país, las primeras víctimas fueron los organismos públicos. Aprovechándose de un tema de actualidad por el que pasa Uruguay, y de la costumbre de utilizar el correo electrónico para intercambiar bromas o regalos entre conocidos, su acción ha sido generosa. Es que en estos días, un tema como el que esta supuesta broma trata, fue una carnada muy fácil de morder (Jorge Batlle es el presidente del Uruguay, y quien se ha enfrentado decididamente a la epidemia de Aftosa en este país). Nosotros recibimos los primeros reportes, provenientes justamente de estas oficinas públicas (en nuestro caso de uno de los ministerios), el martes 15 de mayo.

Este hecho demuestra una vez más que el problema de los virus radica en una falta de educación para el manejo de los programas, y sobre todo del correo electrónico (mucho más grave a nivel de oficinas o empresas, y sobre este tema, hemos incluido la traducción de un interesante artículo de un experto, en este mismo boletín. Ver:  ¿Cuál es la cura para los virus de computadoras? ¡Usted!). Y también tiene su culpa la falta de antivirus al día, o apropiados. En nuestra primera prueba (ayer en horas de la tarde), este virus fue fácilmente reconocido por Panda (VBSWG.200.Crypted), Kaspersky (AVP) como I-Worm.Homepage, y F-PROT (unknown virus). Los demás antivirus testeados (Sophos, McAfee, Norton, Dr. Web), no dieron ninguna alerta. La simple presencia de un archivo con doble extensión (si se hubieran tenido habilitadas las opciones correspondientes), podría haber dado la voz de alarma.

Estas son las características del virus (Symantec y otros fabricantes de virus, lo han agregado hoy a sus bases de datos).

En principio, Homepage.B está creado con la misma herramienta usada en muchos otros (VBSWG2), al igual que el Homepage original. Es una simple variante (aunque como vimos, algunos antivirus no lo detectaron hasta ser actualizados).

Su código, en Visual Basic Script, está encriptado. Si lo editamos, sólo es visible (o entendible) la función usada para la desencriptación.

Dicha función examina todos los caracteres del código encriptado, y les resta un valor fijo, para convertirlos, tratando de forma especial los códigos de salto de línea, retorno, espacio y tabulación.

Luego de la desencriptación, se ejecuta el código del gusano, el cuál dispone de un control básico de errores.

El gusano utiliza una conocida vulnerabilidad para enviarse a si mismo a todos los contactos de la libreta de direcciones del Microsoft Outlook.

Una de sus acciones, es iniciar el explorador de Internet, y abrir la página de organismos gubernamentales del Uruguay.

El mensaje enviado (y también el recibido), tienen estas características:

Asunto: NUEVAS MEDIDAS DEL EJECUTIVO
Texto:
Lo que nos faltaba:
Batlle se desnuda para combatir la aftosa !!
Tenés que verlo, es impresionante!

Archivo adjunto: Batlle_Desnudo.JPG.vbs (2,215 bytes)

Si el usuario abre el adjunto, el gusano se desencripta a si mismo, y crea una copia en la carpeta de archivos temporales (C:\Windows\TEMP por defecto):

C:\Windows\TEMP\Batlle_Desnudo.JPG.vbs

Después, el virus revisa una entrada del registro. Si tal entrada existe y su valor no está puesto a 1, el virus inicia su rutina de propagación vía e-mail, poniendo luego dicho valor a "1":

HKEY_CURRENT_USER\software\Batlle
mailed = 1

Si la entrada ya es "1", no se vuelve a enviar la próxima vez que el virus se ejecute en dicha computadora (en caso de infección, se recomienda no borrar esta clave del registro, ya que su presencia nos daría inmunidad para la propagación).

Luego de ello, el gusano borra todos los mensajes enviados y recibidos de él mismo, de las carpetas Bandeja de Entrada y Elementos eliminados. Para ello, simplemente borra todos los mensajes cuya línea de ASUNTO contenga el tema "NUEVAS MEDIDAS DEL EJECUTIVO".

Por último, el gusano intenta abrir alguno de los siguientes sitios del gobierno uruguayo con el Internet Explorer (seleccionando uno al azar):

http://www.presidencia.gub.uy
http://www.parlamento.gub.uy

Si usted recibe este mensaje, simplemente bórrelo y luego borre el contenido de la carpeta de Elementos eliminados.

Para quitarlo de un sistema infectado, simplemente ejecute un antivirus al día, y borre todas las apariciones del virus. Se recomienda no borrar las modificaciones en el registro, como se explica antes.

Si el sistema no tiene instalado el MS Outlook, el gusano no funcionará, ya que para poder propagarse, utiliza una falla de seguridad conocida.

Tampoco funciona si se tiene desactivado el Windows Scripting Host. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS


Ver también:
14/mar/01 - ¿Comienza una nueva era para los virus?
14/mar/01 - VBS.Vbswg2.gen. Nueva versión del generador de gusanos
09/may/01 - VBS/Homepage.A. Envío en masa y visitas pornográficas
17/may/01 - ¿Cuál es la cura para los virus de computadoras? ¡Usted!

(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS