|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| Virus: VBS/Haptime.C. Infección con solo ver un mensaje | ||
|---|---|---|
VSantivirus No. 460 - Año 5 - Jueves 11 de octubre 2001 Nombre: VBS/Haptime.C Tipo: Gusano de Visual Basic Script Alias: VBS/Help.B, VBS.HappyTime.c, VBS_HAPTIME.C, VBS.Happytime.C, VBS_Haptime.C, VBS/Haptime.c@MM Fecha: 10/oct/01 Es una variante del VBS/Haptime y VBS/Haptime.B. Escrito en Visual Basic Script (VBS), infecta archivos .HTM, .HTML, .VBS, .ASP, y .HTT. Es capaz de propagarse utilizando objetos MAPI, en adjuntos infectados, los que se activan incluso al verlos en el panel de vista previa. El gusano se adjunta a todo mensaje enviado, utilizando las facilidades de texto enriquecido (formato HTML con diseño de fondo) del Outlook Express 5.x o superior. Básicamente, el gusano utiliza un conocido fallo del Outlook Express, que le permite ejecutarse en la computadora de la víctima, sin necesidad de que el usuario afectado abra ningún adjunto. Esta falla, conocida como "Scriptlet.TypLib", ocurre porque determinado control de ActiveX, está incorrectamente marcado como "seguro para scripting". Esto hace que pueda ser llamado por el Internet Explorer, sin pedir la autorización del usuario. El parche se encuentra disponible en: http://www.microsoft.com/technet/ie/tools/scrpteye.asp También puede evitarse su acción, si la seguridad del IE5 es puesta en ALTA. Para ello, vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Tenga en cuenta que algunos sitios tal vez no funcionen correctamente cuando usted navegue luego en ellos. Estas acciones, evitan que este gusano pueda funcionar correctamente. Estas facilidades son utilizadas en las plantillas de nuevos mensajes en formato HTML (texto enriquecido), lo que permite el cambio de fondos y letras usadas en la confección de los nuevos mensajes. El gusano intenta replicarse configurando un código HTML infectado como la página por defecto para estos mensajes en el Outlook Express. Esto hace que el virus se propague con cada nuevo mensaje creado con esa plantilla, en una acción muy similar a la del virus KakWorm (ver VSAntivirus 101 y 157). El gusano modifica el papel tapiz por defecto del escritorio de Windows, para que sea mostrada una página infectada (HELP.HTM), en cada reinicio de Windows. Para esconder esta acción, el gusano intenta usar la misma imagen de fondo existente antes de la infección. Esto funcionará siempre que el "Active Desktop" esté habilitado (en Windows 98, "Inicio", "Configuración", "Active Desktop", "Ver como página Web" tildado). El gusano infectará también todos los archivos .HTT del subdirectorio C:\WINDOWS\WEB. Esto ocasionará que todas las vistas HTML de las carpetas del sistema (Mi PC, Panel de Control, Impresoras, etc.) que se abren con el Explorador de Windows, sean infectadas, siempre que la opción para ver una carpeta como página Web esté habilitada (menú "Ver", opción "Cómo una pagina Web"). El gusano cambia la configuración del formato de envío de correo por defecto a HTML (Herramientas, Opciones, Enviar, Configuración de formato de envío de correo), y coloca un archivo infectado como la plantilla para los nuevos mensajes. Es importante hacer notar que si su programa de correo o servidor de correo Web no es capaz de manejar mensajes con formato, el código del mismo es convertido en un adjunto, el cuál al ser abierto, también propagará la infección. El gusano posee una rutina maliciosa, que se cumple cada vez que la suma del día y el mes, dan como resultado 13. Entonces, el virus es capaz de borrar todos los archivos .EXE y .DLL de la computadora infectada. Estas fechas son:
Recomendaciones en la configuración del Outlook Express para no usar formato HTML.
Usuarios de Windows Me |
||
