Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Troj/JunkSurf.B. Infecta con solo ver un HTML
 
VSantivirus No. 1167 Año 7, Miércoles 17 de setiembre de 2003

Troj/JunkSurf.B. Infecta con solo ver un HTML
http://www.vsantivirus.com/junksurf-b.htm

Nombre: Troj/JunkSurf.B
Tipo: Caballo de Troya
Alias: Win32.JunkSurf, Download.Aduent.Trojan, Downloader-ED, TROJ_JUNKSURF.A, VBS_JUNKSURF.B, TrojanDownloader.Win32.Small.aq, Win32/JunkSurf.B.Trojan, Win32/JunkSurf.B, Trojan.Aduent, Troj/JSurf-B, Adware-Surfbar
Fecha: 15/set/03
Plataforma: Windows 32-bit
Tamaños: 6,657 bytes(exe), 508.000 bytes(dll), 1,536 bytes, 932 bytes

Este caballo de Troya se vale de la vulnerabilidad descripta en el boletín de seguridad MS03-032 de Microsoft:

* Vulnerabilidad de etiquetas de objeto

Internet Explorer no puede determinar correctamente un tipo de objeto que se devuelve de un servidor Web. Un atacante podría utilizar este punto vulnerable para ejecutar código arbitrario en el sistema de un usuario.

Si un usuario visita el sitio Web del atacante, éste podría aprovechar esta vulnerabilidad sin necesidad de ninguna otra intervención de parte del usuario. Un atacante también podría diseñar un mensaje de correo electrónico en formato HTML para aprovecharse de esta vulnerabilidad.

Más información:

MS03-032 Actualización acumulativa para IE (822925)
http://www.vsantivirus.com/vulms03-032.htm

El troyano se distribuye como adjunto en un mensaje enviado como SPAM (correo basura). Algunos ejemplos de estos mensajes:

Ejemplo 1:

Asunto: Hello
Texto:
Hey,
Want to go to the pub on Saturday?
Last Saturday was a blast!
Let me know!

Ejemplo 2:

Asunto: Whats Happening?
Texto:
Why hello ;)
Whats been happening on your side of the woods?
We haven't been doing much at all really!
Anyways seeya tommorow.

Ejemplo 3:

Asunto: Whats Happening?
Texto:
Hey,
How have you been? What have you been doing
lately? Ive just been at home doing nothing
:( bored at uni etc. Anyway's lets catch up
soon, Luv,
You know who ;)

Ejemplo 4:

Asunto: Hey
Texto:
Hello,
How have you been lately?
Our familys been fine, not a lot happening
over here! What are you doing this weekend?
Luv,
Your Pal!

Los mensajes, con formato HTML y sin ningún adjunto, contienen un objeto ActiveX con el que explota la vulnerabilidad descripta antes para ejecutarse en la máquina del usuario sin el conocimiento de éste. Se agrega como adware, y se configura como un plug-in del Internet Explorer (SurferBar Internet Explorer toolbar).

Esta barra de herramientas es descargada de un sitio de Internet y luego instalada sin la autorización del usuario. La existencia del archivo SFBAR.EXE en una computadora, puede indicar una posible infección.

Nota: La configuración sugerida en el siguiente artículo, también previene la ejecución de esta clase de malware:

Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

El troyano también agrega enlaces a sitios pornográficos en diferentes carpeta del sistema.

El malware consiste en tres componentes, un archivo HTML, un script CGI y un ejecutable .EXE.

El archivo HTML se aprovecha de la vulnerabilidad para conectarse a un sitio de Internet con un archivo A.CGI, con el que crea y descarga al ejecutable SFBAR.EXE de 1,536 bytes.

Cuando SFBAR.EXE se ejecuta, éste a su vez descarga e instala otro componente que se encuentra en el sitio Web del autor del troyano: SURFERBAR.DLL.

El archivo SURFERBAR.DLL, de 508,000 bytes, es descargado en alguna de las siguientes ubicaciones:

c:\program files\win32.dll
c:\archivos de programa\win32.dll

También se agregan enlaces directos a varios sitios de Internet con contenido pornográfico, en numerosas carpetas del sistema. Ejemplos:

Nombre de los accesos directos:

Adult Search.lnk
Erotic Search.lnk
Vivid DVD.lnk
Web Search.lnk

Carpetas:

%userprofile%\Desktop\
%userprofile%\Desktop\Adult Entertainment\
%userprofile%\Desktop\Casinos & Gambling\
%userprofile%\Desktop\Find a date\
%userprofile%\Desktop\Search The Net\Adults Only\Video\
%userprofile%\Escritorio\
%userprofile%\Escritorio\Adult Entertainment\
%userprofile%\Escritorio\Casinos & Gambling\
%userprofile%\Escritorio\Find a date\
%userprofile%\Escritorio\Search The Net\Adults Only\Video\
%userprofile%\Favorites\Adult Entertainment\
%userprofile%\Favorites\Casinos & Gambling\
%userprofile%\Favorites\Find a date\
%userprofile%\Favorites\Search The Net\
%userprofile%\Favorites\Search The Net\Adults Only\Video\
%userprofile%\Favoritos\Adult Entertainment\
%userprofile%\Favoritos\Casinos & Gambling\
%userprofile%\Favoritos\Find a date\
%userprofile%\Favoritos\Search The Net\
%userprofile%\Favoritos\Search The Net\Adults Only\Video\
%userprofile%\Menú Inicio\Adult Entertainment\
%userprofile%\Menú Inicio\Casinos & Gambling\
%userprofile%\Menú Inicio\Find a date\
%userprofile%\Menú Inicio\Programas\Adult Entertainment\
%userprofile%\Menú Inicio\Programas\Casinos & Gambling\
%userprofile%\Menú Inicio\Programas\Find a date\
%userprofile%\Menú Inicio\Programas\Search The Net\
%userprofile%\Menú Inicio\Search The Net\Adults Only\Video\
%userprofile%\Menú Inicio\Venusseek\
%userprofile%\Start Menu\Adult Entertainment\
%userprofile%\Start Menu\Casinos & Gambling\
%userprofile%\Start Menu\Find a date\
%userprofile%\Start Menu\Programs\Adult Entertainment\
%userprofile%\Start Menu\Programs\Casinos & Gambling\
%userprofile%\Start Menu\Programs\Find a date\
%userprofile%\Start Menu\Programs\Search The Net\
%userprofile%\Start Menu\Search The Net\Adults Only\Video\
%userprofile%\Start Menu\Venusseek\
%windir%\
%windir%\Desktop\
%windir%\Desktop\Adult Entertainment\
%windir%\Desktop\Casinos & Gambling\
%windir%\Desktop\Find a date\
%windir%\Desktop\Search The Net\Adults Only\Video\
%windir%\Escritorio\
%windir%\Escritorio\Adult Entertainment\
%windir%\Escritorio\Casinos & Gambling\
%windir%\Escritorio\Find a date\
%windir%\Escritorio\Search The Net\Adults Only\Video\
%windir%\Favorites\Adult Entertainment\
%windir%\Favorites\Casinos & Gambling\
%windir%\Favorites\Find a date\
%windir%\Favorites\Search The Net\
%windir%\Favorites\Search The Net\Adults Only\Video\
%windir%\Favoritos\Adult Entertainment\
%windir%\Favoritos\Casinos & Gambling\
%windir%\Favoritos\Find a date\
%windir%\Favoritos\Search The Net\
%windir%\Favoritos\Search The Net\Adults Only\Video\
%windir%\Menú Inicio\Adult Entertainment\
%windir%\Menú Inicio\Casinos & Gambling\
%windir%\Menú Inicio\Find a date\
%windir%\Menú Inicio\Programas\Adult Entertainment\
%windir%\Menú Inicio\Programas\Casinos & Gambling\
%windir%\Menú Inicio\Programas\Find a date\
%windir%\Menú Inicio\Programas\Search The Net\
%windir%\Menú Inicio\Search The Net\Adults Only\Video\
%windir%\Menú Inicio\Venusseek\
%windir%\Start Menu\Adult Entertainment\
%windir%\Start Menu\Casinos & Gambling\
%windir%\Start Menu\Find a date\
%windir%\Start Menu\Programs\Adult Entertainment\
%windir%\Start Menu\Programs\Casinos & Gambling\
%windir%\Start Menu\Programs\Find a date\
%windir%\Start Menu\Programs\Search The Net\
%windir%\Start Menu\Search The Net\Adults Only\Video\
%windir%\Start Menu\Venusseek\

NOTA: La variable %windir% corresponde a la ubicación de Windows de acuerdo a la versión instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).

NOTA: La variable %userprofile% corresponde a la carpeta del usuario en Windows 2000 y XP (C:\DOCUMENTS AND SETTINGS\[usuario]).

El troyano descarga otro ejecutable, WINS32.EXE de 6,657 bytes, que es utilizado para verificar en forma periódica que la instalación de los demás componentes no han sido modificados:

c:\program files\wins32.exe
c:\archivos de programa\wins32.exe

Agrega la siguiente entrada al registro de Windows:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
win32 = c:\program files\wins32.exe

Otros cambios realizados. Modifica la página de inicio del Internet Explorer:

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page = http:/ /www.surferbar.com/

Agrega la siguiente clave:

HKEY_CLASSES_ROOT\CLSID
\{FF7FD490-34E7-4FA1-927A-F5799E6AAD7B}

Esto hace que el DLL se ejecute cuando se inicia el Internet Explorer.


Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrar los archivos creados por el gusano.

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"

3. En "Nombre" ingrese (o corte y pegue), lo siguiente:

"erotic search.lnk" ;
"web search.lnk" ;
adult search.lnk ;
sfbar.exe ;
surferbar.dll ;
vivid dvd.lnk ;
win32.dll ;
wins32.exe

4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione "Todos los archivos y carpetas"

3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:

"erotic search.lnk" ;
"web search.lnk" ;
adult search.lnk ;
sfbar.exe ;
surferbar.dll ;
vivid dvd.lnk ;
win32.dll ;
wins32.exe

4. Verifique que en "Buscar en:" esté seleccionado "C:"

5. Pinche en "Más opciones avanzadas"

6. Seleccione "Buscar en carpetas del sistema"

7. Seleccione "Buscar en subcarpetas"

8. Haga clic en "Búsqueda" y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Runonce

3. Pinche en la carpeta "Runonce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

win32

Nota: Esta clave solo estará si la computadora aún no se reinició después de la ejecución del troyano.

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\CLSID
\{FF7FD490-34E7-4FA1-927A-F5799E6AAD7B}

5. Pinche en la carpeta "{FF7FD490-34E7-4FA1-927A-F5799E6AAD7B}" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Activar cortafuegos de Windows XP (Internet Conexión Firewall)

NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa.

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.

2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".

4. Seleccione Aceptar, etc.


Cambiar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


* Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet pinche en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Pinche en Aceptar, etc.


* Actualizar Internet Explorer

Actualice su Internet Explorer según se explica en el siguiente artículo:

http://www.vsantivirus.com/vulms03-032.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS