VSantivirus No. 437 - Año 5 - Martes 18 de setiembre 2001
Nombre: VBS/BlueMail.A
Tipo: Gusano de Visual Basic Script
Alias: VBS/BlueMail.A@mm
Fecha: 11/set/01
Tamaño: 9,952 bytes
Este gusano se aprovecha de la vieja vulnerabilidad "scriptlet.typlib/Eyedog", que permite se produzca una infección por el simple acto de ver un mensaje, incluida la vista previa, sin necesidad de abrir ningún adjunto.
Es un script incluido en el código de un mensaje con formato HTML y estas características:
De: Microsoft-FunnyMail etc..
Asunto: FW: Remember Windows 3.1?
Texto:
-------------- This is a forwarded message --------------
Original message From: Microsoft-FunnyMail
>>
>> This funny joke uses Microsoft© ActiveX© multimedia. You should
>> answer 'YES' to the question in front of you now. If a blue-coloured
>> window doesn't appear even if you selected 'YES', please do the following:
>> Right click the Internet Explorer's icon on your desktop and choose 'properties'.
>> Choose 'Security', click once 'Internet' and then 'Custom Level...'
>> Next choose all the ActiveX© buttons as 'enabled' and press 'OK'
>> Also press 'OK' to close the Explorer options panel. Now you should have
>> the ActiveX© multimedia features enabled...After all, there is not much
>> use of these great features if they are disabled ;-)
>> When ready, click this link to try again. Have fun !
Simplemente leyendo el mensaje, o visualizándolo en el panel de vista previa en un sistema anterior al Internet Explorer 5.5 sin el parche correspondiente (5.5, 5.5 SP1 y 6.0 ya lo incluyen), el gusano se activará, copiándose a si mismo en el siguiente archivo:
C:\Windows\System\RUNDLL32.HTA
También modifica el nombre del usuario registrado de Windows, cambiando la siguiente clave del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion
RegisteredOwner=H0axley
Para asegurarse que su rutina de envío por correo se ejecutará una sola vez, el gusano genera la siguiente clave:
HKEY_LOCAL_MACHINE\Software\
Outlook.DeepBlue=Outlook.DeepBlue by H0axley
Si este valor no está presente, el gusano se envía a todos los contactos de la libreta de direcciones del Outlook.
Busca también el siguiente archivo (no presente en todas las configuraciones de Windows):
INETPUB\WWWROOT\INDEX.HTML
Si lo encuentra, se copia a si mismo en el siguiente archivo:
INETPUB\WWWROOT\SAVE0001.HTML
Genera entonces el siguiente archivo infectado:
INETPUB\WWWROOT\IMPORTANT.HTML
También crea este archivo de texto:
INETPUB\WWWROOT\README.txt
El mismo contiene este texto:
Outlook.DeepBlue Version 1.0 by H0axley
Crea luego un nuevo archivo INETPUB\WWWROOT\INDEX.HTML con el siguiente texto:
Temporarily Closed
<!-- This server is infected by 'Outlook.DeepBlue' virus by H0axley (Thanks to Zulu) -->
We are sorry but this page is temporarily closed.We are testing the new DeepBlue© system.
Would you like to read some very funny <a href=http://vil.nai.com/vil/IMPORTANT.HTML>jokes</a> ?
(NOTE: This link doesn't work if you don't enable Microsoft©
ActiveX© multimedia when asked to do so ;-)
El gusano crea entonces una ventana azul con el título
"Microsoft Funnymail (Powered by Outlook.DeepBlue by
H0axley)" y el siguiente texto:
Windows
A fatal exception 0E has occured at F0AD:42494C4C
Press any key to continue.
Para eliminarlo de un sistema infectado, ejecute un antivirus actualizado y borre los archivos involucrados:
C:\Windows\System\RUNDLL32.HTA
Y si existen:
INETPUB\WWWROOT\SAVE0001.HTML
INETPUB\WWWROOT\IMPORTANT.HTML
INETPUB\WWWROOT\README.txt
Deberá recuperar o crear nuevamente el archivo
INETPUB\WWWROOT\INDEX.HTML (si existe).
Luego, pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Pinche sobre la carpeta "CurrentVersion". En el panel de la derecha, busque y modifique la entrada
"RegisteredOwner" por el nombre del usuario registrado.
Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
Glosario:
Scriptlet.TypLib/Eyedog - Son dos controles de ActiveX, que están incorrectamente marcados como "seguros para scripting", y por consiguiente pueden ser llamados por el Internet Explorer. SCRIPTLET.TYPLIB es un control usado por diseñadores para generar librerías para componentes de Windows Script. EYEDOG es usado por el software de diagnóstico de Windows. Son afectados el Internet Explorer 4.0 y 5.0, y los parches están disponibles en:
http://www.microsoft.com/technet/ie/tools/scrpteye.asp
También puede evitarse su acción, si la seguridad del IE5 es puesta en ALTA. Para ello, vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Tenga en cuenta que algunos sitios tal vez no funcionen correctamente cuando usted navegue luego en ellos.
Fuente: Networks Associates
(c) Video Soft - http://www.videosoft.net.uy
|