03/09/01

NOTICIAS

"Cuerpo": ataques por varios frentes


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

Nuevo gusano polimórfico con diversos métodos de propagación que aprovecha una vulnerabilidad de Internet Explorer para la que existe parche desde el año pasado
Las compañías desarrolladoras de soluciones anti-virus Kaspersky, Computer Associates y Sophos alertan del nacimiento del nuevo gusano polimórfico "Cuerpo", un código maligno que infecta equipos que trabajen bajo sistemas Windows 9x o Me e Internet Explorer 5.0 o superior con la vulnerabilidad conocida como "Scriptlet.TypeLib", para la que Microsoft desarrolló un parche el pasado año, y que permite la ejecución de un código que llegue en mensaje HTML sin necesidad de ejecutar el adjunto, es decir, sólo por visualizarlo.

El origen de Cuerpo es una página HTML de un site que ya ha sido cerrado para evitar la propagación del gusano y que se realizaba del siguiente modo: cuando el usuario accedía al site en cuestión leía una ventana con el siguiente mensaje:

"Some software (ActiveX controls) on this page might be unsafe. It is recommended that you do not run it. Do you want to allow it to run?. Yes /No"

("Algunos elementos de software (controles ActiveX) de esta página podrían no ser seguros. No se recomienda ejecutarlos. ¿Quiere permitir que se ejecuten? Sí/No.")

Si la elección del internauta era "yes" quedaba infectado automáticamente por el virus. Pero Cuerpo también puede llegar al sistema con forma de e-mail, con la característica peculiar de que el asunto, cuerpo y el adjunto no será fijo. En este caso, el virus llega dividido en dos partes: un script de Visual Basic, oculto en el código HTML, y en el archivo adjunto. No obstante, hay que resaltar que el nombre del adjunto, aunque se elija al azar, lleva una doble extensión que siempre termina en "(9 kbytes).vbs" y va precedido por 16 espacios en blanco, con el fin de que el usuario crea que es el tamaño del archivo, cosa que no es cierta.

Tras la infección el gusano tiene los siguientes efectos en el PC infectado:

- Crea un archivo WINSTART.BAT en la carpeta "\Windows" lo que hará que se ejecute cada vez que se reinicie este programa.

- Busca todas las direcciones de correo de los discos duros locales y en red examinando todos los archivos que terminen en .TXT, .NA2, .WAB, .MBX, .DBX y .DAT y las envía al site del creador del virus. Por otro lado, aprovecha las funciones MAPI para hacerse con todos los contactos de la libreta de direcciones de Outlook. Además, se agrega a todas las firmas usadas por el Outlook con lo cual cada mensaje nuevo en formato HTML que se envíe irá infectado.

- Se copia en la carpeta oculta RECYCLED (papelera de reciclaje) con el nombre rndmein.vbs.

- Modifica la página de inicio de Internet Explorer introduciendo el archivo BLANK.HTM que contiene un enlace a la dirección http://www.freedonation.com.

- Modifica diversos archivos del sistema.

En esta ocasión, las recomendaciones para evitar infecciones de este nuevo código malicioso serían varias: en primer lugar, instalar el parche para la vulnerabilidad Scriptlet.TypeLib de IE disponible en la página web de Microsoft; mantener la solución anti-virus lo más actualizada posible y un último consejo sería elevar al máximo los niveles de seguridad de Internet Explorer 5.


Copyright © VIRUSPROT.COM