VSantivirus No. 701 - Año 6 - Sábado 8 de junio de 2002
VBS/Nemite.A. Mensaje con formato, adjunto: Syashin3.vbs
http://www.vsantivirus.com/nemite-a.htm
Nombre: VBS/Nemite.A
Tipo: Gusano de Visual Basic Script
Alias: VBS_NEMITE.A, VBS/Nemite@MM, VBS.Moon@mm
Fecha: 7/jun/02
Plataforma: Windows
Tamaño: 10,896 bytes
Fuente: Trend, Symantec
Escrito en Visual Basic Script, este gusano capaz de enviarse masivamente a través del correo electrónico, se presenta embebido en un archivo HTML (HyperText Markup Language).
Es capaz de enviar sus mensajes infectados a todos los contactos de la libreta de direcciones de la máquina infectada.
También modifica la página de inicio del Internet Explorer cuando se ejecuta los días 3, 5 y 28 de cada mes.
Los mensajes que envía tienen esta característica:
Asunto: HI
Texto: KONO SYASHIN MITE NE !!!!
Datos adjuntos: Syashin3.vbs
También podría ser SyashinX.vbs, donde la
"X" representa un número.
Para ejecutarse, explota la conocida vulnerabilidad de la Microsoft Virtual Machine (Microsoft VM).
Está incluido en un archivo HTML que llega como un archivo adjunto.
La vulnerabilidad en la Virtual Machine permite a un sitio Web malicioso, utilizar controles ActiveX para crear, modificar y borrar archivos en la máquina del usuario.
Este fallo solamente afecta al Internet Explorer con las opciones de "Active Scripting" o "Scripting of Java applets" habilitadas, y con algunas de las siguientes versiones de la Virtual Machine:
2000 a 2446
2752 a 3194
3229 a 3240
3300 a 3317
Para evitar esta vulnerabilidad, se recomienda la actualización a una versión 3319 o posterior (actualmente 3805 o superior).
Una vez ejecutado, el gusano desencripta otro código en Visual Basic Script y luego lo ejecuta.
Este segundo código examina primero la siguiente entrada del registro, para saber si el sistema actual ya ha sido infectado:
HKEY_CURRENT_USER\Software\moon
explorerb = 1
(también puede ser "explorerx = 01" o
"explorer98 = 01")
Si el valor no es "1", o la entrada no existe, entonces la crea y le pone el valor
"1", luego de generar copias de si mismo con el nombre de
SYASHIN3.VBS y SYASHINX.VBS en el directorio de Windows:
C:\Windows\SYASHIN3.VBS
C:\Windows\SYASHINX.VBS
También agrega las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
explorer = wscript.exe "C:\Windows\syashin3.vbs"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1004 = 00
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
win386 = "C:\Windows\syashin3.vbs"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
win386 = "C:\Windows\syashin2.vbs"
Después, envía mensajes con formato HTML a todas las direcciones de la libreta del Outlook. En el mensaje con formato HTML, incluye un enlace a alguno de estos sitios:
http://utenti.quipo.it/ayumi/windows/<BORRADO>
http://hardsex.myhardman.com/<BORRADO>
Además de los mensajes enviados, también envía uno a esta dirección:
scanner101010@hotmail.com
El gusano también modifica el archivo de configuración del cliente del mIRC
(SCRIPT.INI), si este existe en la computadora infectada. Las modificaciones cambian el nickname por defecto del usuario.
Si se ejecuta un día 3, 5 o 28 de cualquier mes, el gusano cambia la página de inicio del Internet Explorer por la siguiente:
http://it.geocities.com/windowssit/index.htm
Para ello modifica la siguiente entrada del registro:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page = "http://it.geocities.com/windowssit/index.htm"
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados por el virus
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas, si existen:
explorer = "wscript C:\Windows\syashin3.vbs %"
win386 = "C:\Windows\syashinx.vbs"
9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Moon
10. Pinche en la carpeta "Moon" y bórrela.
11. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\Zones
\3
12. Pinche en la carpeta "3" y en el panel de la derecha busque la siguiente entrada:
1004 = 00
13. Pinche en "1004" y modifique el valor
"0" (cero) en Hexadecimal, por el valor
"3"
14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main
15. Pinche en la carpeta "Main" y en el panel de la derecha busque la siguiente entrada:
Start Page
"http://it.geocities.com/windowssit/index.htm"
16. Pinche en "Start Page" y modifique el valor
"http://it.geocities.com/windowssit/index.htm" por el valor
"about:blank".
Luego puede cambiar la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegar hacia una página de su agrado, pinchar en Herramientas, Opciones de Internet, General, y finalmente pinchar en "Usar actual".
17. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
18. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
19. Actualice Microsoft Virtual Machine por la versión 3319 o superior (actualmente Build 3805 o superior), visitando el sitio de actualizaciones de Microsoft o la siguiente dirección:
http://www.microsoft.com/java/vm/dl_vm40.htm
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones
.VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|