NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

Nueva variante del virus BLEBLA que afecta 22 claves del registro

Nombre de virus: W32/BleBla.b@mm

Alias conocidos: W32/Verona.b

Riesgo Infección: Alto   (Bajo, Alto, Muy Alto)

Activación: envía e-mails infectados a lista direcciones Outlook

Propagación: Por ejecución del HTML integrado en el mail

Detección: Desde DATS 4109

Motor necesario: Engine 4.0.70 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Una nueva variante también escrita en Delphy y comprimida con UPX, llega en formato HTML en un e-mail autoenviado por el virus, con cualquiera de los siguientes 15 nombres:
 
Romeo&Juliet                     where is my juliet ?         where is my romeo ?
Hi                                        Re:                                   Last wish ???
lol : )                                    ,,...                                    !!!
new born                             merry christmas!               surprise ¡
Caution: NEW VIRUS !       SCANDAL !                       ^_^

Aparentemente el e-mail con el que llega el virus, no lleva ficheros anexados, pero, al abrirlo, el HTML procesa el VBScript, creando en el directorio C:\Windows\Temp\ los ficheros XROMEO.exe y XJULIET.chm, y el C:\Windows\SYSRNJ.EXE, que es una copia del XROMEO.EXE.
 
El fichero XRomeo.exe es una copia del HTML, conteniendo el formato del e-mail a enviar, e instrucciones al respecto, y el fichero Xjuliet.chm lee las direcciones de las libretas de direcciones de Windows (*.wab) , que son utilizadas para autoenviar el virus, a través de servicios SMTP.

Los DATS 4109 están disponibles en nuestra web www.satinfo.es ,y son los que distribuimos en el disquete de la actualización de Diciembre 00.

Para su eliminación hemos creado la utilidad ELIBLE.EXE, que eliminará las entradas viricas del registro de sistema y eliminará los ficheros gusano, tanto del BLEBLA.A como del B.  Si se hubiera borrado el fichero SYSRNJ  del directorio Windows, el ordenador queda inoperativo para la ejecución de ficheros con extensiones EXE, API, AVI, BMP, DOC, GIF, JPG, JPEG, JPE, LHA, MP2, MP3, RAR, REF, MPEG, WQF, WMF, WMA, WMV, XLS y ZIP, debiendo entonces copiar nuestro utilidad ELIBLE.EXE con el nombre de SYSRNJ.EXE dentro de C:\Windows, y ejecutar luego el  ELIBLE.EXE.

NOTA: Para este virus es importante controlar extensiones HTML. Ver fichero ADDEXT14.EXE y ELIBLE.EXE en las utilidades de nuestra web,

SATINFO, VIRUSCAN SPAIN SERVICE                        5-12-2000


Anterior