| |
VSantivirus No. 312 - Año 5 - Miércoles 16 de mayo de 2001
Nombre: JS/Olvort.A@mm
Alias: Olvortex, JS/Olvort.A@mm, JS/VBSWG.Z
(Panda)
Tipo: Gusano de Java Script
Fecha: 15/may/01
Reportado activo: Si
Este virus, reportado por Panda Software, está realizado con la herramienta
"VBS Worm Generator 2", (Ver VSantivirus No. 249 - Año 5 - Miércoles 14 de marzo de 2001,
VBS.Vbswg2.gen. Nueva versión del generador de gusanos), y su código se encuentra encriptado.
Se propaga reenviando mensajes que encuentra en la bandeja de entrada del Outlook, a todos los contactos de la libreta de direcciones.
Cuando se ejecuta, abre el Internet Explorer mostrando una página Web, tomada al azar de cinco posibles:
support.microsoft.com/support/kb/articles/Q187/7/96.ASP
www.vortexdata.com
www.vortex.com/
www.idgexecforums.com/vortex/
personal.vineyard.net/bond007/vortex/index.htm
Una vez que el gusano ha accedido a una de estas páginas, el mismo se graba en la carpeta de inicio de Windows:
C:\Windows\Menú Inicio\Programas\Inicio\REGCLEAN.EXE.JS
Esto hará que el virus se ejecute en cada reinicio del sistema.
Pero antes de ello, el gusano comprueba la existencia del Outlook en la máquina de la víctima. De no estar presente este programa, el virus no podrá funcionará.
Para enviarse, el virus toma los mensajes de la bandeja de entrada del Outlook, y les agrega una copia de si mismo.
En el caso de que alguno de esos mensajes careciera de asunto, el gusano agrega en su lugar el nombre del remitente (el usuario infectado).
Adicionalmente, el virus controla que ninguno de los 8 primeros caracteres del asunto, sea alguno de los no permitidos para ser usados en los nombres de los archivos. No se aceptan como parte de un nombre de archivo, estos caracteres:
: \ / ? < > | "
En caso de que existiera alguno de estos en el "Asunto", este sería cambiado por el de subrayado o guión bajo:
_. Esto lo hace el gusano, porque se graba a si mismo en el directorio de los archivos temporales con un nombre creado a partir de las 8 primeras letras del "Asunto" del mensaje, agregando como extensión lo siguiente:
.HTM.JS. Por ejemplo, si el asunto fuera "¿Esto es un
hoax?", el virus se grabará como "_Esto
es.HTM.JS".
El virus modifica también el registro, para que la extensión visible sea solamente
.HTM (aún con la opción para ver todas las extensiones activa). Para camuflarse aún más, también cambia el icono por defecto para los archivos con extensión
.JS (archivos de JavaScript), por el de los archivos .HTM y
.HTML, siendo casi imposible para un usuario percatarse que el archivo no es
.HTM, sino un JavaScript (.JS).
Para ello, el gusano modifica estas claves del registro:
HKEY_CLASSES_ROOT\JSFile\DefaultIcon
(Predeterminado) = C:\ARCHIV~1\INTERN~1\iexplore.exe,1
HKEY_CLASSES_ROOT\JSFile\
NeverShowExt =
El mensaje original es guardado con el nombre de
OLVORTEX.MSG, y el mismo será adjuntado también al mensaje que se envía, junto al código del gusano.
Este es el mensaje enviado:
Asunto: FW: [Asunto del mensaje original]
Texto:
[Una línea en blanco y el "Asunto" del mensaje original]
Archivos adjuntos:
1. Copia del gusano (con el nombre y la extensión como se ha descripto antes).
2. Copia del mensaje original en el archivo OLVORTEX.MSG
Para dificultar aún más su descubrimiento, el virus borra luego el mensaje, de la carpeta "Elementos enviados" del Outlook.
La encriptación usada por el gusano es similar a la de virus como el
"Homepage" por ejemplo, porque está generada con la misma herramienta (VBSWG2 como se mencionó antes).
Si lo editamos, sólo es visible (o entendible) la función usada para la desencriptación.
Dicha función examina todos los caracteres del código encriptado, y les resta un valor fijo, para convertirlos, tratando de forma especial los códigos de salto de línea, retorno, espacio y tabulación.
Luego de la desencriptación, se ejecuta el código del gusano, el cuál dispone de un control básico de errores.
Para limpiar este virus, ejecute uno o dos antivirus al día.
Para modificar los cambios en el registro, siga estos pasos:
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
JSFile
3. Pinche sobre la carpeta "JSFile". En el panel de la derecha debería ver algo como:
NeverShowExt
4. Pinche sobre el nombre "NeverShowExt" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
JSFile
DefaultIcon
6. Pinche sobre la carpeta "DefaultIcon". En el panel de la derecha debería ver algo como:
(Predeterminado)
"C:\ARCHIV~1\INTERN~1\iexplore.exe,1"
7. Pinche con el botón derecho sobre el nombre
"(Predeterminado)" y modifique el contenido de
"Información del valor" por lo siguiente:
C:\WINDOWS\WScript.exe,3
Luego de ello, debería aparecer lo siguiente de inmediato:
(Predeterminado)
"C:\WINDOWS\WScript.exe,3"
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Fuente: Panda Software
(c) Video Soft - http://www.videosoft.net.uy
Ver también:
14/mar/01 - VBS.Vbswg2.gen. Nueva versión del generador de gusanos
09/may/01 - VBS/Homepage.A. Envío en masa y visitas pornográficas
|
|
