|
VSantivirus No. 1507 Año 8, sábado 21 de agosto de 2004
JS/Scob.B. Infecta desde páginas Web maliciosas
http://www.vsantivirus.com/js-scob-b.htm
Nombre: JS/Scob.B
Tipo: Gusano de JavaScript y caballo de Troya
Alias: Scob.B, StartPage-EU, Download.Ject2, JS/Ject.B, HTML/Ject.B, Download.Ject-style
Fecha: 19/ago/04
Plataforma: Windows 32-bit
Tamaño: variable
Este gusano fue reportado por la firma de seguridad PivX Solutions LLC, en la tarde del jueves 19 de agosto de 2004, en una noticia de la que nos hicimos eco en nuestro boletín 1506 (ver "Nuevo ataque afecta a Windows XP con todos los parches",
http://www.vsantivirus.com/20-08-04.htm). A pesar de lo allí expresado por PivX, más de 24 horas después de ese informe, prácticamente no hay
datos de casos de infección que ameriten una alarma.
El gusano fue transmitido aparentemente en forma de spam, en algunos ambientes específicos, a través de mensajes de AIM (AOL Instant Messenger), e ICQ.
El mensaje podría tener el siguiente texto:
My personal home page http:/ /[dirección de internet]/
Si el usuario hace doble clic sobre el enlace, el Internet Explorer abre un sitio web malicioso que infecta al usuario a través de varias vulnerabilidades conocidas, instalando y ejecutando un troyano.
El primer enlace, lleva a una página que contiene un exploit para aprovecharse de una vulnerabilidad conocida como "Object Data". En un Internet Explorer sin el parche específico, una ventana emergente devuelta por el servidor Web, permite ejecutar un código que carga otra página conteniendo otro exploit.
Este segundo exploit se aprovecha de otra vulnerabilidad conocida como "MHTML Redirect", para procesar un script y ejecutarlo en la zona de seguridad local del usuario.
Este script hace referencia a un archivo CHM (un formato ejecutable de ayuda HTML), el cuál contiene un troyano que explota una vulnerabilidad conocida como "CodeBase", para instalarse en los sistemas vulnerables.
Cuando el troyano se ejecuta se cambia la página de inicio del Internet Explorer y las opciones de búsqueda, para que apunten a un sitio que mostrará numerosos sitios Web para adultos, y redirigirá la búsqueda a publicidad pornográfica.
Para ello, el troyano modifica las siguientes entradas del registro:
HKCU\Software\Microsoft\Internet Explorer\Main
Customize Search = http:/ /targetsearch .info
Default_Search_URL = http:/ /targetsearch .info
Search Bar = http:/ /targetsearch .info
Local Page = http:/ /targetsearch .info
Search Page = http:/ /targetsearch .info
Start Page = http:/ /targetsearch .info
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
Default_Page_URL = http:/ /targetsearch .info
Default_Search_URL = http:/ /targetsearch .info
Local Page = http:/ /targetsearch .info
Search Page = http:/ /targetsearch .info
Start Page = http:/ /targetsearch .info
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search
CustomizeSearch = http:/ /targetsearch .info/left .php
SearchAssistant = http:/ /targetsearch .info/left .php
La configuración sugerida por VSAntivirus en el siguiente enlace, impide la ejecución del gusano, al no dejar actuar a las vulnerabilidades mencionadas:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Los usuarios que instalen el SP2 de Windows XP no son afectados por las vulnerabilidades que explota este gusano.
Reparación manual
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar archivos temporales de Windows
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Borrar archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet pinche en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Pinche en Aceptar, etc.
Procedimiento para restaurar página de inicio en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Pinche en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Pinche en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.
7. Pinche en "Aceptar".
Seleccionar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o pinche en "Página en blanco"). O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".
Restaurar las páginas de búsqueda del Internet Explorer
1. Inicie el Internet Explorer.
2. Pinche en el botón "Búsqueda" de la barra de herramientas.
3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).
5. Pinche en el botón "Reiniciar" (Reset).
6. Pinche en el botón "Configuración de Autosearch" (Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.
Información adicional
Instalar parche acumulativo de Outlook Express
Para protegerse de las vulnerabilidades que explota este troyano/gusano, instale el último parche acumulativo de Outlook Express:
MS04-018 Parche acumulativo para Outlook Express (823353)
http://www.vsantivirus.com/vulms04-018.htm
Instalar parche acumulativo de Internet Explorer
Para protegerse de las vulnerabilidades que explota este troyano/gusano, instale el último parche acumulativo de Internet Explorer:
MS04-025 Actualización acumulativa para IE (867801)
http://www.vsantivirus.com/vulms04-025.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|