| |
VSantivirus No. 599 - Año 6 - Martes 26 de febrero de 2002
W32/Sharp (Ngvck). Usa nombre de boletín de Microsoft
http://www.vsantivirus.com/sharp.htm
Nombre: W32/Sharp (Ngvck)
Tipo: Gusano de Internet
Alias: Win32.HLLP.Sharp, Worm/Ngvck, Blunt
Fecha: 25/feb/02
Tamaño: 12 Kb aprox.
Fuente: Central Command
Lo realmente peligroso de este gusano, es su ingeniería social, o sea la técnica usada para engañar al usuario incauto, aunque en este caso, el virus no posea carga destructiva.
Por supuesto, una vez más, si somos conscientes que jamás debemos abrir adjuntos no solicitados "vengan de donde vengan", los riesgos serían mínimos.
El gusano se propaga a través de la lista de contactos de la libreta de direcciones del Outlook, y se presenta en nuestras casillas con este formato:
Asunto: Windows update
Texto:
Hey, at work we are applying this update because it
makes Windows over 50% faster and more secure.
I thought I should forward it as you may like it.
Datos adjuntos: MS02-010.exe
El nombre MS02-010 coincide con el del último boletín de seguridad de Microsoft (a la fecha de la aparición de este virus).
Si el usuario incauto ejecuta el archivo MS02-010.exe, el gusano se copia en el directorio Windows:
C:\Windows\MS02-010.exe
También se crea en forma temporaria un archivo llamado
SHARP.VBS:
C:\Windows\SHARP.VBS
Este archivo, un script de Visual Basic Script, es el que realiza todas las acciones del gusano en nuestro sistema, a saber:
a. Envía el archivo C:\Windows\MS02-010.exe a todos los contactos de la libreta de direcciones
b. Despliega el siguiente mensaje en la pantalla de la víctima:
You're infected with Win32.HLLP.Sharp,
written in C#, by Gigabyte/Metaphase
c. Elimina su propio código (borra C:\Windows\SHARP.VBS)
El gusano no realiza ninguna otra modificación en el sistema, ni siquiera para autoejecutarse en próximos reinicios de Windows. De este modo, la rutina de propagación se produce solamente cada vez que el usuario ejecuta el archivo
MS02-010.exe.
La limpieza del gusano de un sistema infectado, consiste simplemente en el borrado de dicho archivo
(C:\Windows\MS02-010.exe), y por supuesto del mensaje infectado recibido.
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones
.VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Glosario:
Windows Scripting Host (WSH). Es un interprete de Java Script y de Visual Basic Script, que puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus en dichos lenguajes. Está instalado por defecto en Windows 98 y posteriores.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
