Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Verona.B. Variante del Verona, BleBla, Romeo&Juliet
 
VSantivirus No. 146 - Año 4 - Viernes 1 de diciembre de 2000
Ver también: W32/Verona (BleBla, Romeo&Juliet)

Nombre: W32/Verona-B
Tipo: Gusano de Win32
Alias: I-Worm.Blebla.B, W32/Blebla@mm.Worm.B, Romeo&Juliet 2

W32/Verona-B es una variante del W32/Verona (BleBla, Romeo & Juliet, Ver "VSantivirus No. 132 - Año 4 - Viernes 17 de noviembre de 2000, Virus: W32/Verona. Capaz de infectar con solo ver un mensaje").

Esta versión, utiliza uno de 18 servidores SMTP para propagarse.

195.117.117.6
212.244.197.164
195.205.96.185
195.116.104.14
195.117.3.111
195.116.221.65
212.244.67.20
194.181.138.141
195.205.121.183
195.117.88.7
212.160.95.1
212.244.241.81
195.205.208.33
212.106.133.133
195.116.72.5
213.25.175.3
195.117.99.98
213.25.111.2

El mensaje recibido, puede venir con la línea "Asunto:" vacía, con texto sin sentido, formado con hasta tres grupos de letras minúsculas, o con un asunto seleccionado de estos temas:

Romeo&Juliet
where is my juliet ?
where is my romeo ?
hi
last wish ??? 
lol :) 
,,... 
!!! 
newborn 
merry christmas! 
suprise ! 
Caution: NEW VIRUS ! 
scandal !
^_^ 
Re:

El gusano también se envía al newsgroup alt.comp.virus, en un mensaje con estas características:

De: "Romeo&Juliet" [romeo@juliet.v]
Asunto: [Romeo&Juliet] R.i.P.

También se copia a si mismo en C:\WINDOWS\SYSRNJ.EXE y genera un nuevo tipo de archivos en el registro: RNJFILE:

HKEY_CLASSES_ROOT\rnjfile
DefaultIcon = %1

HKEY_CLASSES_ROOT\rnjfile\shell\open
command = sysrnj.exe "%1" %*

Luego, registra las extensiones EXE, JPG, JPEG, JPE, BMP, GIF, AVI, MPG, MPEG, WMF, WMA, WMV, MP3, MP2, VQF, DOC, XLS, ZIP, RAR, LHA, ARJ y REG, haciendo que el explorador de Windows ejecute el virus antes que el programa o archivo original con esas extensiones:

HKEY_CLASSES_ROOT
.exe = rnjfile
.jpg = rnjfile
.jpeg = rnjfile
.jpe = rnjfile
.bmp = rnjfile
.gif = rnjfile
.avi = rnjfile
.mpg = rnjfile
.mpeg = rnjfile
.wmf = rnjfile
.wma = rnjfile
.wmv = rnjfile
.mp3 = rnjfile
.mp2 = rnjfile
.vqf = rnjfile
.doc = rnjfile
.xls = rnjfile
.zip = rnjfile
.rar = rnjfile
.lha = rnjfile
.arj = rnjfile
.reg = rnjfile

Bajo ciertas condiciones, el gusano es capaz de crear en la carpeta de la papelera de reciclaje de la unidad C: (C:\RECYCLED), otros directorios y archivos con nombres al azar.

El gusano se ejecuta solo bajo Windows 9x. No funciona bajo Windows NT o 2000. El componente HTML en el mensaje, causa que el adjunto se guarde en la carpeta de temporales de Windows (C:\Windows\TEMP), y ejecute otro archivo generado por el virus: xjuliet.chm.

Este a su vez, lanza el archivo xromeo.exe, el componente de envío masivo de mensajes. Xromeo.exe también intenta finalizar el proceso HH.EXE (la ayuda de Windows), para esconder su actividad.

El virus se basa en la vulnerabilidad "Cache Bypass", reportada por Microsoft en su boletín MS00-046 (http://www.microsoft.com/technet/security/bulletin/ms00-046.asp ), el 20 de julio de 2000.

Esta vulnerabilidad que afectaba al Microsoft Outlook y Outlook Express, permite a un usuario malicioso, enviar un mensaje en formato HTML, el cuál al ser abierto, permite leer del disco de la víctima. Unido esto a otras vulnerabilidades anteriores (explicadas en nuestra descripción del virus "Verona" original en nuestro boletín "VSantivirus No. 132 - Año 4 - Viernes 17 de noviembre de 2000, Virus: W32/Verona. Capaz de infectar con solo ver un mensaje"), permite la ejecución de código malicioso al simplemente abrir un mensaje de correo (Windows 95, 98 y NT).

Esta vulnerabilidad fue corregida en el Internet Explorer 5.5 y Outlook 5.5.

Si usted tiene una versión anterior, podrá encontrar más información y los parches correspondientes en estas direcciones:

http://www.microsoft.com/technet/security/bulletin/fq00-046.asp
http://www.microsoft.com/windows/ie/download/critical/patch9.htm

O instalando el Internet Explorer 5.01 Service Pack 1, o Internet Explorer 5.5.

Esta vulnerabilidad (la que permite la acción de este virus), no es la misma reportada en nuestros boletines "VSantivirus No. 136 - Año 4 - Martes 21 de noviembre de 2000, Ejecución peligrosa de archivos CHM en el IE 5.5" y "VSantivirus No. 139 - Año 4 - Viernes 24 de noviembre de 2000, Segunda vulnerabilidad del IE 5.5 en la misma semana".

Ver también: W32/Verona ( BleBla, Romeo&Juliet)

 

Copyright 1996-2000 Video Soft BBS