Nuevo virus gusano de difusión masiva a través de las listas de Outlook

Nombre de virus: VBS/Valentin @ MM -revisión 28-2-01-

Alias conocidos: Valentine

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Envía mails con cuerpo HTML infectado a las listas Outlook

Propagación: Por procesamiento código HTML del cuerpo del e-mail

Detección: DATS 4121

Motor necesario: 4.0.35

Infección actual: Inicial (Inicial, Media, Elevada)

EXTREMADAMENTE IMPORTANTE

Un nuevo virus, creado por el mismo hacker que hizo el reciente LittleDAVINIA,

ha sido controlado por McAfee desde DATS 4121, disponibles ya en nuestra web www.satinfo.es, siendo de difusión masiva y mucho mas fácil que se propague que el anterior, teniendo además un "payload" destructivo, los días 8, 14, 23 y 29 de cada mes, en los cuales sobrescribe todos los ficheros del disco duro con un texto en castellano, además de añadir al nombre y extensión de cada fichero, la nueva extensión TXT, por ejemplo, el COMMAND.COM quedaría COMMAND.COM.TXT.

El contenido de los ficheros sobreescritos es el siguiente:

En cuanto a ti usuario, debo decirte que tus ficheros no han sido contaminados por un virus, sino sacralizados por el amor que siento por Davinia."

Nota.- En una segunda variante no hay texto en los ficheros sobreescritos, y los directorios se ha añadido la extensión ".feliz san valentin."

También se distribuye a todas las direcciones de la libreta de direcciones del Outlook, y aleatoriamente envía un mensaje a telefonos móviles, incitando visitar una web infectada, con lo que el usuario que haga caso, se infectará por entrar en dicha web, El asunto del mensaje es "Feliz San Valentin", y el texto, "Por favor visita... " seguido del link a la web infectada.

Otra característica de este virus es que cambia la página de Inicio del Internet Explorer, por el de una web española infectada con dicho virus, al igual que el virus VBS/San @M , que también está controlado desde la misma versión 4121.

Estos virus, al igual que otros de HTML/VBS, aprovechan una vulnerabilidad del Internet Explorer de Microsoft, por la que se permite ejecutar el código VBS al interpretar código HTML. Conviene bajar de la web de Microsoft el parche correspondiente, para evitar sufrir este y otros ataques similares, por solo abrir el mail o acceder a una web infectada, aun sin ejecutar ningun fichero anexo. Además, el Outlook, solo por iluminar el asunto del mensaje, ya interpreta dicho código, con lo cual entra en funcionamiento el virus.

Sugerimos lean la información en cuestión y actualicen sus ordenadores con dicho parche de Microsoft: http://www.microsoft.com/technet/security/bulletin/ms99-032.asp

McAfee AVERT recomienda, además, que lean la información de las siguientes direcciones electrónicas y actualicen sus ordenadores con los siguientes parches:

http://officeupdate.microsoft.com/2000/downloadDetails/Out2ksec.htm

Cuando el código vírico es ejecutado, se copia a sí mismo con el nombre de Loveday14-b.HTA, en la carpeta de Inicio de Windows, con lo que se cargará en los siguientes reinicios de Windows. Para sistemas en castellano se instala en C:\Windows\Menú Inicio\Programas\Startup, y crea el fichero MAIN.HTML en el directorio de sistema de Windows, fichero que envía a través del mIRC Internal Relay Chat a otros usuarios de IRC.

Si el virus ha entrado en el ordenador, pero todavía no ha actuado, procede efectuar los siguientes pasos:

* Cerrar cliente(s) de e-mail

* Instalar los parches de Microsoft arriba mencionados

* Borrar el Loveday14-b.HTA y el Main.HTML

* Borrar las firmas de e-mail por defecto

* Borrar los mensajes no imprescindibles que contengan el script indicado

* Opcionalmente, cerrar el Preview Pane del Outlook

Por último recordar que en las extensiones a controlar por el VIRUSCAN/VSHIELD es muy conveniente incluir las HT? Y VB?, para ficheros *.HTML, HTA,VBS, VBA.

(ejecutar ADDEXT14.EXE incluido en \UTILES del disquete 1 de actualizacion)

SATINFO, VIRUSCAN SPAIN SERVICE              14-2-2001

Anterior