Asunto: Vierika is here
Texto: Vierika.jpg
Archivo adjunto: Vierika.JPG.vbs

Observe lo de la doble extensión, ya que no se trata de una imagen JPG sino de un script de Visual Basic. El archivo Vierika.jpg.vbs es muy pequeño, apenas 344 bytes.

La segunda parte del virus estaba disponible en un sitio Web de origen italiano. Como este sitio ya ha sido cerrado, no existen riesgos de propagación (con esta versión).

Sin embargo una de las características más preocupantes del Vierika, es su capacidad de cambiar el seteo de seguridad del Internet Explorer, colocándolo en el nivel más bajo. Esto lo hace la primera parte, de modo que aunque el virus no pueda acceder a la segunda parte en el sitio Web, la seguridad del Explorador quedaría en un nivel de riesgo, pudiendo ser esto aprovechado por otros virus o troyanos.

Al poner el nivel de seguridad en bajo, los controles ActiveX que son considerados "inseguros", podrán ser usados por el navegador sin ningún mensaje de alerta. Por defecto, no se permite el uso de controles inseguros en páginas Web o mensajes con formato, pero el gusano habilita esta opción.

El uso de este código inseguro, puede habilitar la escritura de archivos al disco duro, envío de correo, etc.

El VBS/Vierika es en concreto, un gusano de envío masivo de correo, escrito en Visual Basic Script.

La primera parte, la que arriba en el adjunto "Vierika.JPG.vbs", realiza estas acciones:

1. Modifica el registro de Windows para bajar los seteos de seguridad del Internet Explorer al nivel más bajo.

2. Modifica el registro de Windows para modificar la página de inicio del Internet Explorer, de modo que apunte a la página de un sitio de origen italiano (web.tiscalinet.it). Esta página contenía un script con el código principal del virus.

Estos cambios hacen que la próxima vez que el Explorer se inicie (no es necesario que se reinicie Windows), el navegador intente conectarse a la página infectada ("Vindex.html"). Cómo el seteo de seguridad del IE ha sido bajado por la primera parte del gusano ("Vierika.JPG.vbs"), la segunda parte, podrá ejecutar directamente su código desde el sitio Web.

Esta segunda parte libera el archivo "c:\Vierika.JPG.vbs", que es una copia de la primera parte, y es la que usará el gusano para propagarse a través de mensajes infectados, utilizando todos los contactos de la libreta de direcciones del Outlook. Los mensajes serán idénticos al recibido anteriormente. También modifica ligeramente la página de inicio del IE, apuntando a una página diferente del mencionado sitio (todas estas páginas han sido dadas de baja).

La página ("Vindex.html"), muestra el siguiente texto:

THE MATRIX IS CONTROL

La infección inicial se produce al hacer doble clic sobre el archivo adjunto Vierika.JPG.vbs.

Para eliminarlo, ejecute un antivirus al día, y borre los archivos detectados como pertenecientes al virus.

Aunque la segunda parte del virus en esta versión, no podrá ejecutarse, al haber sido dada de baja, es importante tener en cuenta que el nivel de seguridad del IE ha quedado comprometido por la acción de la primera parte (si esta se hubiera ejecutado), y esto podría ser usado por otros virus.

En las Opciones de Internet, (Panel de control, Opciones de Internet), en la lengüeta "Seguridad", se aconseja seleccionar el nivel Mediano para "Internet". Son válidas las opciones "Alto", o "Personalizada", aunque menos funcionales. Ponga en "Alto" el nivel para Sitios restringidos.

También aproveche para aumentar la seguridad en el Outlook. Vaya a Herramientas, Opciones. Seleccione la lengüeta "Seguridad". Pinche en "Zonas de seguridad", y luego pinche en "Zonas de sitios restringidos (más segura)". Pinche en ACEPTAR y confirme los cambios.

Fuentes: F-Secure, Network Associates, Sophos, Symantec, Computer Associates.


Más información relacionada:
12/feb/01 - San Valentín y los virus. Consejos para todo el año
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS
17/mar/01 - VBS/Vierika.B@MM. Dos en uno, Visual Basic Script y HTML