|
VSantivirus No. 1082 Año 7, Martes 24 de junio de 2003
Troj/Java.Needy.A. Usa falla de la Máquina Virtual Java
http://www.vsantivirus.com/java-needy-a.htm
Nombre: Troj/Java.Needy.A
Tipo: Caballo de Troya (Java)
Alias: Java/Needy.A, Needy.A, Java.Needy.A
Plataforma: Windows 32-bit
Fecha: 24/jun/03
Se trata de un troyano escrito en un applet de Java, que cambia la configuración del Internet Explorer, de modo que su página de inicio y las opciones de búsqueda son redirigidas a una página proporcionados por él.
Se activa sin la intervención del usuario, cuando éste visita una página Web o un correo electrónico con formato HTML conteniendo el applet.
No realiza ninguna otra modificación en el sistema.
El troyano se presenta en un archivo JAR (un formato de archivo que reúne todos los componentes que requiere un applet de Java). Cuando es ejecutado, el troyano se vale de una falla en la Máquina Virtual de Java (reportada en el boletín MS03-011 de Microsoft) para obtener los máximos privilegios, eludir las restricciones de seguridad de Java, y ejecutar su código.
El troyano crea entonces un archivo temporal conteniendo las configuraciones del registro (.REG) a modificar, y ejecuta el REGEDIT.EXE con parámetros para provocar los cambios.
Serán modificadas estas claves del registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Use Search Asst = [valor proporcionado por el troyano]
Search Page = [valor proporcionado por el troyano]
Start Page = [valor proporcionado por el troyano]
Search Bar = [valor proporcionado por el troyano]
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search
SearchAssistant = [valor proporcionado por el troyano]
Además de limpiar los cambios realizados como se indica más adelante, es muy importante aplicar el parche correspondiente, para que este troyano (u otro código malicioso similar), no se aproveche en el futuro de la mencionada vulnerabilidad, con consecuencias quizás peores.
La falla está relacionada con un error en el componente ByteCode Verifier, de la Microsoft Virtual Machine, que no comprueba ciertos códigos a ejecutar.
Son vulnerables todas las versiones inferiores a la 3809, ésta incluida. Para conocer el número de versión actual de su equipo, e instalar el parche respectivo, siga este enlace:
Alerta: Falla en Microsoft Virtual Machine (MS03-011)
http://www.vsantivirus.com/vulms03-011.htm
Para limpiar la infección, proceda de este modo:
Borrar Archivos temporales de Internet.
Primero, debe borrar los archivos temporales de Internet.
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet pinche en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Pinche en Aceptar, etc.
Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Pinche en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Pinche en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.
7. Pinche en "Aceptar".
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|