Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

W32/Rayl.A. Infecta desde un enlace en MSN Messenger
 
VSantivirus No. 1540 Año 8, viernes 24 de setiembre de 2004

W32/Rayl.A. Infecta desde un enlace en MSN Messenger
http://www.vsantivirus.com/rayl-a.htm

Nombre: W32/Rayl.A
Tipo: Gusano de Internet (MSN)
Alias: AdClicker-BD, Exploit.HTML.Mht, TrojanDownloader.Win32.Delf.ed, W32.Snone.A, W32/Rayl.A.worm, Win32/Elomon.worm.48644, Worm.MSN.Elon.a, HTML/Exploit.Mht.AE
Fecha: 17/set/04
Plataforma: Windows 32-bit
Tamaño: varios

Este gusano, escrito en Visual C++ v6.0, se propaga mediante el MSN Messenger, a través de un enlace que simula ser una imagen JPG.

El proceso se inicia cuando el usuario del MSN recibe un mensaje con caracteres chinos, conteniendo la siguiente dirección:
http:/ /www .xf2s .com/ msn/ wode .jpg

La imagen WODE.JPG en realidad es un archivo HTML. Note que a pesar de que en estos días se mencionan exploits que pueden llegar a permitir la ejecución de código malicioso en archivos JPEG, en este caso la falsa imagen no tiene nada que ver con la vulnerabilidad en el proceso de esos archivos.

El falso JPEG es un HTML que utiliza la sentencia IFRAME para desplegar otro HTM (NEWS.HTM) y una verdadera imagen JPG (no infectada), que muestra a una chica japonesa (1.JPG)

El archivo NEWS.HTM contiene un código en Javascript que se ejecuta automáticamente, y libera el siguiente archivo:

test.chm

Valiéndose de una conocida vulnerabilidad (solucionada en un parche de abril de 2004 por Microsoft), este archivo ejecuta en la zona de seguridad local el archivo TEST.EXE (11,845 bytes).

Al ejecutarse TEST.EXE, se crean los siguientes archivos:

c:\syshttp1.sys
c:\syshttp2.sys

Ambos se ejecutan, y se copian como SYSLRAY.EXE y MONIKER.EXE en la carpeta del sistema:

c:\windows\system32\moniker.exe (48,644 bytes)
c:\windows\system32\syslray.exe (94,726 bytes)

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También se crean los siguientes archivos:

c:\windows\system32\hktt.dll (33,280 bytes)
c:\windows\system32\hkt1.dll (45,568 bytes)

Estos últimos son archivos legítimos, no infectados, pero usados maliciosamente por el gusano para sus funciones.

El gusano crea copias de estos archivos en la carpeta \TEMP de Windows, con el nombre HKT?.DLL donde "?" puede ser un número.

NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.

El gusano intenta finalizar la ejecución del cortafuegos ZoneAlarm, y los siguientes procesos si se encuentran activos:

eghost.exe
mailmon.exe
netbargp.exe
ravmon.exe

Se crean las siguientes entradas en el registro, para ejecutarse automáticamente en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
realone_nt2004 = "C:\WINDOWS\system32\syslray.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
realone_nt2003 = "C:\WINDOWS\system32\moniker.exe"

Una vez ejecutado en memoria, el archivo principal (MONIKER.EXE), utiliza HKTT.DLL para interceptar las funciones del MSN Messenger, y propagarse en forma de un enlace a un archivo JPG como se mostró antes. Para ello, se agrega al nick del contacto cada vez que se envía un mensaje.

Para ejecutarse, el gusano se aprovecha de la vulnerabilidad descripta por Microsoft en su boletín MS04-013 (ver "MS04-013 Parche acumulativo para Outlook Express (837009)", http://www.vsantivirus.com/vulms04-013.htm).

Dicha vulnerabilidad es causada por un error en el manejador MHTML, que permite procesar cualquier archivo, incluido texto, como si fuera un HTML. De este modo es posible incluir un script en el archivo, y ejecutarlo en la zona local (Mi PC), con menores restricciones de seguridad.


Reparación manual

El siguiente proceso de limpieza manual, ha sido sugerido en los foros de soporte de Microsoft para MSN Messenger:

1. Cerrar el MSN Messenger desde el icono correspondiente en la barra del sistema, al lado del reloj de Windows (botón derecho, Cerrar).

2. Ejecutar Administrador de tareas.

a. En Windows 95/98/Me pulse CTRL+ALT+SUPR (ver "Utilización de la herramienta "Process Explorer")

b. En Windows NT/2K/XP pulse CTRL+SHIFT+ESC y seleccione la lengüeta "Procesos"

3. En la lista de programas (nombre de imagen) localice los siguientes procesos:

moniker.exe
syslray.exe
hkt?.dll

Donde "?" es un dígito (Ej: hkt1.dll)

4. Seleccione cada uno de esos nombres y haga clic en "Terminar proceso" o "Finalizar tarea".

5. Para asegurarse de haberlos quitado, vuelva a ejecutar los pasos 2, 3 y 4 si fuera necesario.

6. Desde el Explorador de Windows, busque y borre los siguientes archivos (luego de ejecutarse, no todos estos archivos podrán estar presentes):

c:\syshttp1.sys
c:\syshttp2.sys
c:\windows\system32\moniker.exe
c:\windows\system32\syslray.exe
c:\windows\system32\hktt.dll
c:\windows\system32\hkt1.dll

7. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Nota: Se puede ejecutar también la herramienta Anti-WODE.zip del siguiente enlace:

http://www.infospyware.com/Software/Herramientas/Anti-WODE.zip


Utilización de la herramienta "Process Explorer"

Para completar exitosamente el proceso de eliminación, es necesario detener la ejecución del virus en memoria. Puede usarse el administrador de tareas de Windows como se indicó antes, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace:

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE.

Para la finalización de los procesos indicados, localice y "mate" (Kill Process), cada proceso cuyo nombre se menciona en los pasos anteriores (ver "Eliminación de procesos del virus en memoria"), buscándolo bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer".


Borrar archivos temporales de Windows

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Borrar archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Resetear configuración de MSN Messenger

Se recomienda resetear la configuración del MSN Messenger a sus valores por defecto. Esto elimina también cualquier personalización realizada (emoticones, preferencias, etc.). Para borrar la carpeta de configuración, proceda así:

1. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter):

%appdata%\Microsoft

2. Borre la carpeta "MSN Messenger"

3. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

realone_nt2003
realone_nt2004

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\MSNMessenger

5. Haga clic en la carpeta "MSNMessenger" y bórrela

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Información adicional

Instalar parche acumulativo de Outlook Express


Para protegerse de las vulnerabilidades que explota este gusano, instale el último parche acumulativo de Outlook Express:

MS04-018 Parche acumulativo para Outlook Express (823353)
http://www.vsantivirus.com/vulms04-018.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Referencias y colaboraciones:

Infospyware.com:
http://www.infospyware.com/Herramientas.htm

Messageries-Instantanees:
http://messageries-instantanees.net

Foro microsoft.public.es.msn.messenger:
http://support.microsoft.com/newsgroups/default.aspx?ICP=GSS3&NewsGroup=
microsoft.public.es.msn.messenger&SLCID=ES&sd=GN&id=fh;ES-ES;NEWSGROUPS


Eliminar Virus de la foto Japonesa en MSN
http://www.forosdelweb.com/showthread.php?t=232652

¿Cómo quitar el enlace a "wode.jpg" en MSN Messenger
http://messageries-instantanees.net/Es00340.htm


Actualizaciones:

25/09/04 - 00:40 -0200 (Alias: HTML/Exploit.Mht.AE)



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS