Internet Explorer

Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?

[    Si    ] [    No    ]

Si el usuario selecciona SI, entonces el código de la página se ejecuta en la computadora infectada, sin ninguna otra acción.

Pero esta no es la única forma de infectarnos. También puede llegar a nosotros como un mensaje con un archivo adjunto, con la característica que tanto el cuerpo del mensaje como el adjunto pueden estar infectados.

En principio, "Cuerpo" infecta solamente computadoras con el Internet Explorer 5.0 o superior instalado, bajo Windows 9x y Me, siempre que no se haya aplicado un ya antiguo parche que resuelve una conocida vulnerabilidad del IE, la cuál permite la ejecución de código malicioso en un mensaje con formato HTML, sin necesidad de ejecutar ningún adjunto, solo por visualizar el mensaje.

Otra de las características que lo convierten en un espécimen de cuidado, es que no se envía con un formato estándar de mensaje. Es decir, el mensaje que lo contiene puede poseer cualquier asunto, traer cualquier archivo adjunto, y poseer cualquier texto en el cuerpo del mismo. Sin embargo, en ocasiones el cuerpo no muestra texto alguno, ya que el código malicioso está embebido como un script.

Por otra parte, el gusano posee características polimórficas (posibilidad de cambiar su contenido de forma), lo que le da una apariencia siempre diferente.

Como vemos, en el caso de los mensajes, el código malicioso está insertado en dos partes diferentes de estos. Una de esas partes es un script de Visual Basic, oculto en el código HTML, y la otra en el archivo adjunto. De este modo, aunque no se abra este adjunto, y si no tenemos instalado el parche mencionado antes, simplemente por ver el mensaje (incluso por visualizarlo en la vista previa), podemos infectarnos.

Esta vulnerabilidad, conocida como "Scriptlet.TypeLib vulnerability", ha sido usada previamente por virus como el "BubbleBoy", el "KakWorm", y otros.

Este código, crea un archivo WINSTART.BAT en la carpeta \Windows, que se ejecutará en el próximo reinicio de Windows, y que a su vez liberará un archivo llamado rndmein.vbs.

El cierre del sitio Web empleado para una de sus rutinas de propagación, ha disminuido algo la cantidad de reportes.

La segunda variante de infección se produce solo si abrimos y ejecutamos el archivo adjunto.

El gusano busca las direcciones de correo a las cuáles enviarse en todos los discos duros locales y compartidos en red, examinando archivos con estas extensiones:

.TXT
.NA2
.WAB
.MBX
.DBX
.DAT

En los archivos encontrados, el gusano examina la presencia de cualquier cadena que haga referencia a direcciones de correo, y las extrae.

Estas extensiones, son usadas generalmente por las bases de datos de varios clientes de correo, (entre ellos el Outlook).

Las direcciones recolectadas, son posteadas por medio de formularios HTML, al sitio del autor del virus. Allí el código oculto en la página de ese sitio, enviará mensajes infectados directamente a cada una de esas direcciones.

Estos mensajes tendrán la misma dirección en los campos "De:" y "Para:", y solo contendrá el cuerpo del mensaje en HTML.

Este método no funciona ahora, debido a que la página en dicho sitio ha sido dada de baja.

El gusano también se copia a la carpeta oculta RECYCLED (que no es otra cosa que la Papelera de Reciclaje):

C:\Recycled\rndmein.vbs

Para ejecutarse en cada reinicio del sistema, el virus crea esta clave:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
rndmein = c:\recycled\rndmein.vbs

También crea la siguiente:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sn = c:\recycled\rndmein.vbs

El mensaje recibido, puede traer el asunto vacío, o cualquier otro, tomado de mensajes existentes en las bandejas del Outlook del usuario infectado.

Además, el virus puede enviarse a todos los contactos de la libreta de direcciones. Estos mensajes infectados, son gestionados utilizando sus propias funciones MAPI (Messaging Application Programming Interface), la interface de programación para aplicaciones de correo electrónico.

El gusano se agrega también a todas las firmas usadas por el Outlook. De esta manera, cada nuevo mensaje creado con formato HTML, estará infectado.

En todos los casos, el nombre del archivo adjunto es elegido al azar, agregándosele una doble extensión:

"nombre_al_azar.txt                (9 Kbytes).vbs"

Existen 16 caracteres vacíos entre .TXT y (9 Kbytes). La inclusión de la frase "(9 Kbytes)" es un intento del gusano para engañar a un usuario inexperto.

Si el adjunto es abierto (doble clic sobre él), el gusano crea numerosos archivos .VBS y .HTML, con nombres al azar en la carpeta \Windows\System.

El virus además, escribe o modifica estos otros archivos del disco duro:

c:\windows\winstart.bat
c:\recycled\rndmein.vbs
c:\windows\clockavi.vbs
c:\windows\winstart.bat
c:\windows\system\mlojyopuq.vbs
c:\windows\system\sn.vbs
c:\windows\system\blank.htm
c:\autoexec.bat

El gusano también toca la siguiente clave del registro para cambiar la página de inicio del Internet Explorer:

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = BLANK.HTM

El archivo BLANK.HTM es creado por el virus, y solo contiene un enlace a la dirección "www.freedonation.com".

Para limpiar su PC

Si su PC se infecta, ejecute uno o más antivirus al día, y luego borre los archivos detectados como "Cuerpo" o "Cuervo". Borre con REGEDIT (Inicio, Ejecutar, Regedit y Enter), las claves "rndmein" y "sn" de la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia.

Instale el parche para Scriptlet.TypeLib

SCRIPTLET.TYPLIB es un control ActiveX incorrectamente marcado como "seguro para scripting", y por consiguiente puede ser llamado por el Internet Explorer sin advertencia alguna.

Son afectados el Internet Explorer 4.0 y 5.0. Los parches están disponibles desde el año pasado en:

http://www.microsoft.com/technet/ie/tools/scrpteye.asp

También puede evitarse su acción, si la seguridad del IE5 es puesta en ALTA. Para ello, vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Tenga en cuenta que algunos sitios tal vez no funcionen correctamente cuando usted navegue luego en ellos.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS


Fuentes: Kaspersky Labs, Network Associates, Sophos, Central Command
(c) Video Soft - http://www.videosoft.net.uy