Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

VBS/Challenge. Infecta sin abrir archivos adjuntos
 
VSantivirus No. 236 - Año 5 - Jueves 1 de marzo de 2001

VBS/Challenge. Infecta sin abrir archivos adjuntos
http://www.vsantivirus.com/challenge.htm

Nombre: VBS/Challenge
Tipo: Gusano de Visual Basic Script
Alias: I-Worm.Challenge, VBS/Challenge@M, VBS/Folder, VBS.Folder
Fecha: 27/feb/01
Tamaño: 3060 bytes

Este gusano se propaga a través del Outlook Express 5, y posee funciones muy similares al JS/Kak@M, KakWorm, (ver VSantivirus No. 157 - Año 4 - Martes 12 de diciembre de 2000, VBS/Kakworm-E. Infecta con solo verlo en vista previa, VSantivirus No. 101 - Año 4 - Jueves 23 de marzo de 2000, VBS/Kakworm-A).

Infecta a través de código agregado a mensajes de correo con formato HTML (no es necesario abrir ningún adjunto para contagiarse).

Solo funciona en sistemas con el Outlook Express 5, y el Windows Scripting Host instalados.

Es capaz de agregarse a si mismo a cada mensaje enviado por la computadora infectada. No lo hace como otros gusanos, a través de archivos adjuntos, sino que agrega su código dentro del mensaje (en su firma) como un script de Visual Basic (VBS).

Cuando el mensaje infectado es abierto, el usuario no nota nada extraño, pero el virus toma el control del sistema.

Para hacer esto, el gusano se aprovecha de una vulnerabilidad que permite a un script contenido en un mensaje de correo con formato HTML, acceder a controles ActiveX (Ver VSantivirus No. 114 - Año 4 - Lunes 30 de octubre de 2000, Godmessage, se ejecuta sin necesidad del "doble clic").

El gusano infecta la computadora en dos pasos:

Primero, cuando un mensaje con formato HTML infectado es desplegado, el script embebido en su código toma el control. Genera entonces un archivo TEMP.HTA con una copia del propio gusano en la carpeta de inicio de Windows. En este caso, esta acción funciona en todas las versiones de Windows, sin importar su idioma.

El segundo paso se lleva a cabo cuando Windows se reinicia. El archivo TEMP.HTA en la carpeta de inicio es ejecutado, creándose un segundo archivo llamado FOLDER.HTML en la carpeta C:\WINDOWS\SYSTEM. Este archivo contiene el código original del gusano. Luego, el virus registra este archivo como la firma por defecto del Outlook Express 5 (OE5).

Para ello modifica la rama del registro:

HKCU\Identities\[identidad...]\Software\Microsoft\Outlook Express\5.0\
"Signature Flags" = 00000003

y la rama:

HKCU\Identities\[identidad...]\Software\Microsoft\Outlook Express\5.0\signatures

\signatures\Default Signature" = "00000000"
\signatures\00000000\file" = "[path]\folder.html"
\signatures\00000000\name" = "Signature #1"
\signatures\00000000\text" = ""
\signatures\00000000\type" = 00000002

Desde este momento, todos los mensajes enviados con el OE5 desde la computadora infectada, llevarán el código del virus a través de la firma incluida en los mensajes.

El código del virus posee este comentario:

~<-GhostDog. Challenge.Virus->.by GhostDog /UK.!!!~

Para evitar su acción, se recomiendan los siguientes pasos:

1) Instalar el parche de seguridad que corrige una importante vulnerabilidad en Windows 95/98/Me/NT/2000.

Esta vulnerabilidad en la Máquina Virtual Java (Microsoft VM) permite la ejecución de cualquier código en nuestra computadora, con tan sólo visitar una página web o leer un mensaje de correo HTML. La Máquina Virtual Java, es el componente que permite la ejecución de aplicaciones Java, y a la vez, los controla, para impedir que ejecuten acciones no deseadas. Microsoft publicó hace un tiempo el Boletín de Seguridad MS00-075 y un parche para acabar con dicha vulnerabilidad, que afecta a todos los usuarios de Windows 95, 98, 98 Segunda Edición, Me, NT y 2000, y los sistemas que tengan instalado el Internet Explorer 4.x o 5.x.

Se aconseja descargar el parche de estas direcciones:

www.microsoft.com/technet/security/bulletin/ms00-075.asp
www.microsoft.com/technet/security/bulletin/ms00-081.asp
www.microsoft.com/java/vm/dl_vm40.htm 

2) Cómo el virus utiliza archivos VBS (Visual Basic Script), se recomienda deshabilitar el Windows Scripting Host (WSH). Ver: VSantivirus No. 231 - Año 5 - Sábado 24 de febrero de 2001, Algunas recomendaciones sobre los virus escritos en VBS.

3) Mantener al día sus antivirus. Las versiones de antivirus recientes, son capaces de detectar la acción de este tipo de código malicioso, en el momento de su acción.

Fuentes: Network Associates, Kaspersky Lab


Ver también:

23/mar/00 - VBS/Kakworm-A. Se propaga sin necesidad de adjuntos
30/oct/00 - Godmessage, se ejecuta sin necesidad del "doble clic"
12/dic/00 - VBS/Kakworm-E. Infecta con solo verlo en vista previa
19/dic/00 - ¿Las soluciones antivirales pueden ser ineficaces?
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS