SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
En el caso del JS/Kak@M, si usted recibe un mensaje infectado (en formato HTML) y su sistema no tiene protección antivirus, le pueden suceder dos cosas:
1) Si tiene Internet Explorer 5 y Windows Scripting Host instalado en su sistema, y su sistema de correo es Outlook Express 5, el virus se instalará en su ordenador y todos los mensajes salientes HTML contendrán una copia del virus.
2) Si no dispone de Windows Scripting Host instalado o su sistema de correo no es Outlook Express 5, entonces sus mensajes de salida permanecerán limpios. Sin embargo, si responde, reenvía o redirige una mensaje en formato HTML que esté infectado, e incluye el mensaje original, pasará el virus a otros destinatarios.
JS/Kak@M no utiliza un fichero asociado para propagar, ya que está encapsulado dentro de mensajes de correo. Por este motivo, los mensajes pueden parecer completamente inocentes. Si en Outlook tiene el Panel de Vista Previa activo, el virus puede incluso infectar sin "abrir" el mensaje infectado, simplemente iluminando el asunto del mensaje es suficiente para que el virus infecte su ordenador. Esto lo provoca el agujero de seguridad antes mencionado.
Microsoft ofrece detalles sobre este problema en <http://www.microsoft.com/technet/security/bulletin/ms99-032.asp> y ofrece un parche para corregirlo enOtro ejemplo de gusano que aprovecha este agujero de seguridad es el VBS/Bubbleboy@MM.
Debido a limitaciones tanto en el caso del Kak (sólo infecta en idioma Inglés o francés), como en el caso del Bubbleboy (sólo propaga bajo Microsoft Outlook 98, Outlook 2000 y Outlook Express y en idioma Español o Inglés) no ha habido demasiada propagación de ambos virus.
VBS/San@M y VBS/Valentin@MM - control desde DAT 4121 / Motor 4035 - La aparición en Febrero de 2001 de los virus VBS/San@M y VBS/Valentin@MM (aprovechando de nuevo la vulnerabilidad "script.typelib/Eyedog") ha provocado el primer semestre de año una enorme propagación y numerosos "daños", por el hecho que incluyen payloads destructivos:- VBS/San@M --> si el día actual es 8, 14, 23 o 29 intenta borrar los contenidos de directorios en la raíz de la unidad C:, y a los nombres de las subcarpetas les añade "happysanvalentin" (p.e. la carpeta "Mis Documentos" se convierte en "Mis Documentoshappysanvalentin"). La variante conocida como VBS/San.B@M realiza la misma operación los días 8, 14, 19, 28 y 29.
- VBS/Valentin@MM --> si el día actual es 8, 14, 23 o 29, el virus intenta SOBREESCRIBIR todos los ficheros de la unidad C: con un texto en español. Los ficheros sobreescritos continúan teniendo el nombre original pero con extensión .TXT (p.e. \command.com se convierte en \command.com.txt)
Desafortunadamente, todo y haber avisado sobre su existencia y propagación hemos recibido muchas incidencias sobre ambos virus ya explotados.
VBS/Haptime@MM - control desde DAT 4136 / Motor 4070 -Este virus VBS (Visual Basic Script) está causando una ENORME propagación los últimos meses, desde su aparición el pasado mes de Abril.
Al igual que los anteriores, se presenta en código script encapsulado dentro de HTML, y cuando se ejecuta añade su código al final de ficheros .ASP, .HTM, .HTML, .HTT, y .VBS.
Su 'payload' destructivo consiste en borrar ficheros .DLL y .EXE en unidades locales y de red, si el número de día mas el número del mes suman 13 (p.e. 6 de julio, 5 de agosto, etc).
Del mismo modo que en los anteriores casos, utiliza la "famosa" vulnerabilidad "script.typelib/Eyedog" para permitir su ejecución.
Nuevamente, repetimos que Microsoft ofrece detalles sobre este problema enIgualmente Otros parches muy recomendados son:
Malformed E-mail MIME Header vulnerability patchSATINFO, VIRUSCAN SPAIN SERVICE 06-07-2001
