|
VSantivirus No. 762 - Año 6 - Viernes 9 de agosto de 2002
VBS/Neiber.A (Bernie.VBS). Asunto: Attention virus
http://www.vsantivirus.com/neiber-a.htm
Nombre: VBS/Neiber.A
Tipo: Gusano de Internet
Alias: VBS.Neiber.A@mm, VBS_NIEBER.A, Neiber, VBS.Bernie@mm, I-worm.Bernie, HTML_NIEBER.A, NIEBER.A, Bernie
Plataformas: Windows 32-bit
Fecha: 30/jun/02
Tamaño: 9,662 bytes, 5,652 bytes
Este gusano fue reportado en junio de 2002 por Trend Micro sin tener reportes de incidencia. Actualmente se ha visto un aumento de infecciones del mismo.
El gusano se envía en forma masiva a través de Internet, en mensajes de correo electrónico como el siguiente, enviados a todos los integrantes de la libreta de direcciones del Microsoft Outlook y Outlook Express (se utiliza el campo CCO o BCC para ocultar las direcciones):
Asunto:
Attention virus
Texto:
[vacío, pero con formato HTML]
Datos adjuntos:
[sin adjuntos]
El código del virus está inserto en forma oculta en el código HTML (Hyper Text Mark-up Language) del mensaje, y se ejecuta con el simple hecho de abrir el mensaje o visualizarlo en el panel de vista previa. Para ello se aprovecha de la vulnerabilidad en Internet Explorer 5.01 y 5.5 (6.x no es afectado), denominada 'Iframe exploit', y 'MIME exploit'.
Durante su ejecución, el gusano examina si los controles ActiveX del Internet Explorer y Microsoft Outlook están activos o no. Si no lo están, muestra el siguiente mensaje:
You need ActiveX enabled if you want to see this e-mail.
Please open this message again and click accept ActiveX
Microsoft Outlook
En caso contrario, despliega el siguiente mensaje:
Je tenais absolument à t'avertir que tu venais d'être
contaminé par le virus BERNIE.
Luego el gusano se copia a si mismo con el nombre de
BERNIE.VBS en el directorio System de Windows:
C:\Windows\System\BERNIE.VBS
En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).
Luego el gusano agrega la siguiente clave en el registro, para que el gusano se ejecute en cada reinicio de Windows, con la ayuda del componente WSCRIPT.EXE (Windows Scripting Host):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Bernie = "wscript.exe C:\Windows\System\Bernie.vbs"
El gusano examina la existencia de la siguiente entrada en el registro:
HKEY_CURRENT_USER\software\Bernie
mailed = ""
En caso de no encontrar dicha clave, el gusano envía su mensaje infectado en formato HTML, conteniendo el código viral en forma oculta.
Utiliza Microsoft Outlook para el envío, el cuál es hecho a todos los contactos de la libreta de direcciones. Luego de ello crea la siguiente clave en el registro:
HKEY_CURRENT_USER\software\Bernie
mailed = "1"
Luego, el gusano busca todas las carpetas y subcarpetas de todas las unidades de disco locales y mapeadas en red, por archivos con las siguientes extensiones, sobrescribiéndolos con su propio código y el nombre original.
.vbs
.vbe
Después, ejecuta numerosas sesiones del bloc de notas de Windows (Notepad.exe), ocasionando un agotamiento de los recursos de Windows y su cuelgue.
También modifica la página de inicio del Internet Explorer en la computadora infectada, modificando la siguiente entrada en el registro:
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = "http:\\membres.lycos.fr\aoteam\mange.com"
El gusano es capaz de eliminar el contenido de todos los archivos
.VBS y .VBE, copiándose a si mismo en ellos. Esto hace imposible su recuperación, salvo a través de un respaldo limpio, o reinstalando las aplicaciones necesarias.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Reparación manual
Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:
1. Detenga el proceso del virus en memoria:
a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
2. En ambos casos, en la lista de tareas, señale la siguiente:
WSCRIPT
3. Seleccione el botón de finalizar tarea.
En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Bernie
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
9. Actualice sus antivirus y realice un escaneo de sus discos, borrando los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.
10. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".
11. Actualice su Internet Explorer según se explica en el siguiente artículo:
Parche acumulativo para Internet Explorer (MS02-023)
http://www.vsantivirus.com/vulms02-023.htm
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|