Asunto: Osama Bin Laden Comes Back!

Texto:

Hello People,

You have received Email from Osama Bin Laden.
Allah is The One Of God. No god in the World
Accept Allah! All people in the world love
peace and no wars. America and Israel must be
destroy to prevent from wars.

Your Sincerely,
Osama Bin Laden
Al-Qaeda Network

No incorpora adjunto, ya que el código viral en Visual Basic Script está en el propio HTML, y se activa por medio de controles ActiveX, con solo visualizar el mensaje o verlo en la vista previa, aprovechando conocidas vulnerabilidades del Outlook Express, cuando se usan versiones antiguas o no parcheadas de este software.

Un mensaje como el siguiente, o similar, puede ser mostrado (dependiendo de la actualización del Internet Explorer y Outlook Express instalada en la computadora):

Internet Explorer

Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?

[    Si    ] [    No    ]

Lo correcto es no permitir la ejecución de estos controles. En ese caso el gusano mostrará el siguiente texto:

You need ActiveX enabled if you want to see this e-mail
Please open this message again and click accept ActiveX
Microsoft Outlook

En el caso de ejecutarlo, se muestra una ventana MS-DOS con el siguiente texto:

Después muestra una ventana con el siguiente mensaje:

VBS.OsamaLaden@mm
A.Q.T.E
Al-Qaeda Network...
[     Aceptar    ]

Al ejecutarse, el gusano crea los siguientes archivos:

C:\Windows\OSAMALADEN.VBS
C:\Windows\Laden.EXE
C:\Windows\Osama.EXE
C:\Windows\Alta.EXE
C:\Windows\System\OSAMALADEN.VBS
C:\Windows\TEMP\OSAMALADEN.VBS
C:\Laden.bat
C:\OsamaLaden.bat

• Laden.EXE. Es un troyano de 4,608 bytes, comprimido con la utilidad UPX, y reconocido como W32/Nedal.B o Troj/Nedal-A. Al ejecutarse, genera la siguiente clave en el registro:
  
  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  Laden = Laden.exe
  
  Cuando LADEN.EXE se ejecuta un 11 de setiembre, se muestra la siguiente ventana:
  
  VBScript
  Today is 11 September! Do you remember this date?
  [    Aceptar    ]
  
  También se copia el siguiente archivo:
  
  C:\Laden.bat
  
  Este BAT, detectado como Troj/Deltree-O, es capaz de borrar todo el contenido de la carpeta C:\Windows\System.
• Osama.EXE. Es un virus escrito en Borland C, que sobrescribe archivos. EXE. Es reconocido como Nedal.17174 por su tamaño (17,174 bytes) (también es identificado como HLLO/Nedal-A).
• Alta.EXE, es un troyano de Win 32, también comprimido con la utilidad UPX, de un tamaño de 5,120 bytes, y detectado como W32/Nedal.A o Troj/Shutdown-C. Al ejecutarse, muestra una pequeña ventana con el siguiente mensaje antes de apagar la computadora:
  
  Prepare to sleep...
  
  También crea la siguiente clave en el registro, apagando el equipo cada vez que Windows se reinicie:
  
  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  AltaWorm = alta.exe
• OSAMALADEN.VBS es copiado como vemos, en varios lugares del disco, y es el script con el código viral, el gusano propiamente dicho.

El gusano crea o modifica las siguientes entradas en el registro de Windows, para autoejecutarse en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
OsamaBinLaden =
"wscript.exe c:\Windows\System\OsamaLaden.vbs %"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
OsamaLaden = C:\OsamaLaden.bat

Para marcar que ya ha sido enviado por e-mail o IRC, también crea las siguientes entradas:

HKCU\software\OsamaBinLaden\mailed
HKCU\software\OsamaBinLaden\mirqued
HKCU\software\OsamaBinLaden\pirched

El gusano cambia la página de inicio del Internet Explorer, por una dirección que intenta descargar un archivo ejecutable:

http://www.[XXXXXXXXXXXXX]rms.com/BinLaden.exe

Esto está programado para hacerlo un 3 de febrero. Dicha página ya ha sido deshabilitada.

Para ello cambia la siguiente rama del registro:

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = http://www.[XXXXXXXXXXXXX]rms.com/BinLaden.exe

También modifica el registro de Windows para cambiar el nombre del usuario registrado por el de "OsamaBinLaden":

HKLM\Software\Microsoft\Windows\CurrentVersion
RegisteredOwner = "OsamaBinLaden"

El gusano crea también el archivo C:\OsamaLaden.bat, detectado como Troj/NedalBat-A, el cuál al ejecutarse, crea diversas carpetas y sobrescribe archivos con las siguientes extensiones en las carpetas C:\Mis Documentos y C:\Windows\Desktop o C:\Windows\Escritorio:

.AVI
.BAT
.BMP
.CAB
.COM
.DOC
.GIF
.JPEG
.JPG
.LNK
.MDB
.MP3
.MPG
.RTF
.TIF
.TXT
.VBE
.VBS
.XLS
.ZIP

También infecta archivos con extensión .EXE, destruyendo su contenido original. Además de ello, puede borrar el contenido del siguiente directorio:

C:\Windows\System

Además, crea las siguientes entradas en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
OsamaBinLaden = OsamaLaden.bat

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
OsamaLaden = OsamaLaden.bat

Los archivos sobrescritos no son reparables, debiéndose recuperar de un respaldo, o a través de una reinstalación de los programas relacionados, incluido Windows.

Para propagarse, se envía en un mensaje como el ya descripto, a todos los contactos de la libreta de direcciones de Windows.

Para hacerlo a través de los canales de IRC, el gusano utiliza dos populares clientes de IRC. Primero, busca el archivo MIRC32.EXE de la utilidad mIRC. Si lo encuentra, suplanta o crea el archivo SCRIPT.INI con las instrucciones necesarias para autoenviarse a cada participante de los canales de chat visitados.

También busca el archivo PIRCH32.EXE correspondiente al programa pIRCh, y en caso de localizarlo, crea o sobrescribe el archivo EVENTS.INI, con las mismas intenciones que lo explicado para el mIRC.

En ambos casos, el archivo enviado vía IRC se llama OSAMABINLANDEN.VBS.

El código del gusano contiene el siguiente texto:

'VBS.OsamaLaden@mm
'Create By Vladimor Chamlkovic & Nur Mohammad Kamil
'11 September 2002, Wednesday, 2:22p.m.
'<--- Allah is The One! --->
'<--- Allah Bless you Osama and all people in the world including me! --->

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:

OsamaBinLaden
OsamaLaden

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RegisteredOwner

5. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha pinche sobre "RegisteredOwner", cambiando su contenido ("OsamaBinLaden") por el nombre del usuario registrado de Windows.

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\OsamaBinLaden

7. Pinche en la carpeta "OsamaBinLaden" y pulse la tecla SUPR o DEL para borrarla.

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

10. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:

Laden
AltaWorm

11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Cambiar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


Actualizar Internet Explorer

Actualice su Internet Explorer según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS02-023)
http://www.vsantivirus.com/vulms02-023.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
13/set/02 - Alias: VBS/Amalad.a
14/set/02 - Alias: VBS.Amalad.A, VBS/Amalad, VBS.Melhack@mm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com