My personal home page http:/ /[dirección de internet]/

Si el usuario hace doble clic sobre el enlace, el Internet Explorer abre un sitio web malicioso que infecta al usuario a través de varias vulnerabilidades conocidas, instalando y ejecutando un troyano.

El primer enlace, lleva a una página que contiene un exploit para aprovecharse de una vulnerabilidad conocida como "Object Data". En un Internet Explorer sin el parche específico, una ventana emergente devuelta por el servidor Web, permite ejecutar un código que carga otra página conteniendo otro exploit.

Este segundo exploit se aprovecha de otra vulnerabilidad conocida como "MHTML Redirect", para procesar un script y ejecutarlo en la zona de seguridad local del usuario.

Este script hace referencia a un archivo CHM (un formato ejecutable de ayuda HTML), el cuál contiene un troyano que explota una vulnerabilidad conocida como "CodeBase", para instalarse en los sistemas vulnerables.

Cuando el troyano se ejecuta se cambia la página de inicio del Internet Explorer y las opciones de búsqueda, para que apunten a un sitio que mostrará numerosos sitios Web para adultos, y redirigirá la búsqueda a publicidad pornográfica.

Para ello, el troyano modifica las siguientes entradas del registro:

HKCU\Software\Microsoft\Internet Explorer\Main
Customize Search = http:/ /targetsearch .info
Default_Search_URL = http:/ /targetsearch .info
Search Bar = http:/ /targetsearch .info
Local Page = http:/ /targetsearch .info
Search Page = http:/ /targetsearch .info
Start Page = http:/ /targetsearch .info

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
Default_Page_URL = http:/ /targetsearch .info
Default_Search_URL = http:/ /targetsearch .info
Local Page = http:/ /targetsearch .info
Search Page = http:/ /targetsearch .info
Start Page = http:/ /targetsearch .info

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search
CustomizeSearch = http:/ /targetsearch .info/left .php
SearchAssistant = http:/ /targetsearch .info/left .php

La configuración sugerida por VSAntivirus en el siguiente enlace, impide la ejecución del gusano, al no dejar actuar a las vulnerabilidades mencionadas:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Los usuarios que instalen el SP2 de Windows XP no son afectados por las vulnerabilidades que explota este gusano.


Reparación manual

Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar archivos temporales de Windows

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Borrar archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet pinche en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Pinche en Aceptar, etc.


Procedimiento para restaurar página de inicio en Internet Explorer

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Pinche en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Pinche en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

7. Pinche en "Aceptar".


Seleccionar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o pinche en "Página en blanco"). O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


Restaurar las páginas de búsqueda del Internet Explorer

1. Inicie el Internet Explorer.

2. Pinche en el botón "Búsqueda" de la barra de herramientas.

3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".

4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).

5. Pinche en el botón "Reiniciar" (Reset).

6. Pinche en el botón "Configuración de Autosearch" (Autosearch Settings).

7. Elija un proveedor de búsquedas en el menú (Search Provider).

8. Seleccione "Aceptar" hasta salir de todas las opciones.


Información adicional

Instalar parche acumulativo de Outlook Express

Para protegerse de las vulnerabilidades que explota este troyano/gusano, instale el último parche acumulativo de Outlook Express:

MS04-018 Parche acumulativo para Outlook Express (823353)
http://www.vsantivirus.com/vulms04-018.htm


Instalar parche acumulativo de Internet Explorer

Para protegerse de las vulnerabilidades que explota este troyano/gusano, instale el último parche acumulativo de Internet Explorer:

MS04-025 Actualización acumulativa para IE (867801)
http://www.vsantivirus.com/vulms04-025.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com