SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es Anterior Llega en un mail masivo anexando el fichero README.TXT........PIF, el cual aunque no sea abierto voluntariamente por el usuario, lo cual sería mas que normal al ser aparentemente un TXT (la extensión real, la PIF, está muchos espacios en blanco después), es ejecutado automáticamente por el Internet Explorer / Outlook Express, aprovechando el agujero de seguridad indicado por Microsoft en boletín ms 01-020.
Nombre de virus: W32/Shoho @ mm
Alias conocidos: I-WORM_Welyah, w32/Welyah.a
Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: En W9x, añade 7 ficheros, (5 en C:\Windows), y borra otros 38 de C:\Windows Propagación: .Por envío masivo de mails, con fichero infectado, a direcciones capturadas
Detección: DATS 4178
Motor necesario: 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)
Se trata de otro gusano que aprovecha el agujero de seguridad del Internet Explorer / Outlook Express indicado en el boletín informativo de microsoft ms 01-020 según el que por leer un HTML desde una web infectada o desde un e-mail infectado, se puede ejecutar automáticamente un fichero, como el README.txt.......pif, que trae anexado al mail en el que llega el virus, aparte de que el indicado fichero puede ser ejecutado voluntariamente por el usuario dada su apariencia txt, pues la extensión real, la pif, no es visible al estar unos cuantos espacios después de la primera extensión,
Tras su ejecución, el fichero .pif es copiado a los directorios de Windows y System, con el nombre de WINL0G0N.EXE, y crea dos claves de registro que llaman a dicho fichero. Véase que el fichero contiene dos ceros en lugar de dos O, con lo que dificulta su detección y borrado manual. Para la eliminación de las claves ofrecemos nuestra utilidad UNDO28.REG, tras cuya ejecución y consiguiente reinicio, podrá borrarse sin problemas los ficheros infectados, automáticamente con el antivirus actualizado (DATS mínimos 4178)
Una vez ejecutado, el virus añade y borra ficheros en el disco duro, creando en Windows 9x
los siguientes:
-email.txt
-emailinfo.txt
-c:\WINDOWS\DRWATSON
-c:\WINDOWS\DRWATSON\FRAME.HTM
-c:\WINDOWS\email.txt
-c:\WINDOWS\SYSTEM\WINL0G0N..EXE
-c:\WINDOWS\WINL0G0N.EXE
y borrando (en win9x) los siguientes:
c:\WINDOWS\1STBOOT.BMP c:\WINDOWS\ASD.EXE c:\WINDOWS\CLEANMGR.EXE c:\WINDOWS\CLSPACK.EXE c:\WINDOWS\CONTROL.EXE c:\WINDOWS\CVTAPLOG.EXE c:\WINDOWS\DEFRAG.EXE c:\WINDOWS\DOSREP.EXE c:\WINDOWS\DRWATSON.EXE c:\WINDOWS\DRWATSON c:\WINDOWS\DRWATSON\FRAME.HTM c:\WINDOWS\EMM386.EXE c:\WINDOWS\HIMEM.SYS c:\WINDOWS\HWINFO.EXE c:\WINDOWS\JAUTOEXP.DAT c:\WINDOWS\Kacheln.bmp c:\WINDOWS\Kreise.bmp c:\WINDOWS\LICENSE.TXT c:\WINDOWS\LOGOS.SYS c:\WINDOWS\LOGOW.SYS c:\WINDOWS\MORICONS.DLL c:\WINDOWS\NDDEAPI.DLL c:\WINDOWS\NDDENB.DLL c:\WINDOWS\NETDET.INI c:\WINDOWS\RAMDRIVE.SYS c:\WINDOWS\RUNHELP.CAB c:\WINDOWS\SCRIPT.DOC c:\WINDOWS\Setup.bmp c:\WINDOWS\SMARTDRV.EXE c:\WINDOWS\Streifen.bmp c:\WINDOWS\SUBACK.BIN c:\WINDOWS\SUPPORT.TXT c:\WINDOWS\TELEPHON.INI c:\WINDOWS\W98SETUP.BIN c:\WINDOWS\Wellen.bmp c:\WINDOWS\WIN.COM c:\WINDOWS\WIN.INI c:\WINDOWS\WINSOCK.DLL Nota.- Si se ha sufrido la acción de este virus y se precisa recuperar puntualmente algún fichero como los INI, Win.INI, NETDET.INI y TELEPHON.INI, antes de restaurar los demás ficheros eliminados, se pueden recuperar los iniciales indicados a través de nuestra utilidad UNDELF32.EXE, que enviaremos gustosamente a los asociados que hayan sufrido dicho ataque y nos la soliciten. Tras ello podrán restablecerse los demás borrados, desde original o copia de seguridad o copiarlos de otro equipo con igual versión del sistema operativo.
Este virus es del tipo MIME, que aprovecha un agujero de seguridad del Outlook para que el fichero anexado sea ejecutado simplemente por leer el e-mail, e incluso, si se tiene la vista previa activada, con sólo iluminar el título del mail , ya se ejecutará el virus.
Es importante aplicar los parches de Microsoft, para Internet Explorer 5.01 y 5.5, disponibles en <http://www.microsoft.com/windows/ie/downloads/critical/q290108/download.asp>, o bien actualizar a Internet Explorer 6 y aplicarle el parche de seguridad de Microsoft del 13 de Diciembre, <http://www.microsoft.com/windows/ie/downloads/critical/q313675/>, con lo cual este tipo de virus y otros similares, muy en boga actualmente, como el BADTRANS, el NIMDA, el ZOHER, y ahora este SHOHO, no serían ejecutados por leer simplemente el mail, y sólo podrían entrar por ejecución exprofesa del fichero anexado, en cuyo caso el antivirus actualizado evitaría la infección al impedir la ejecución del fichero infectado.
Pueden descargar la utilidad UNDO28.REG de nuestra web www.satinfo.es .
SATINFO, VIRUSCAN SPAIN SERVICE 10 de Enero de 2002
