NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior


Nuevo virus worm con autoenvio a través de la libreta del Outlook/IRC

Nombre de virus: VBS / Jer

Alias conocidos: JER.HTM , VBS.1ON.1MAIL, VBS/Jer

Riesgo Infección:Bajo    (Bajo, Alto, Muy Alto)

Activación: Modifica registro de sistema, cambiando datos

Propagación: Por autoenvio de worm a través de Outlook / IRC

Detección: Desde DATS 4086

Motor necesario: Engine 4.0.50 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Nuevo tipo de virus que se activa con solo abrir el documento HTML, pues lleva embebida una rutina escrita en Visual Basic Script, que se propaga a través de canales de IRC (Chats) y por autoenvío de e-mails a través de las funciones MAPI, a las direcciones del Outlook.

Inicialmente se propagó gracias a una web en la que se ofrecía acceso a “THE 40 WAYS WOMEN FAIL IN BED”, con lo que se ejecutaba el fichero  HTML en cuestión, y se empezó a distribuir por Chat y por e-mail, tal y como acostumbran estos “gusanos” (worms)

Existen dos variantes de dicho virus. La primera crea en la estación de trabajo, el fichero “EWELL.HTM”, y  en la segunda variante el nombre cambió por el de “1ON1MAIL.HTM”. Estos ficheros son ejecutados en los siguientes arranques gracias a la clave en el registro de sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Además modifica otras claves  y cambia el MIRC.INI o el SCRIPT.INI, para, a continuación, iniciar su propagación por chat y por e-mail.
El mail que envía tiene anexado un fichero con extensión HTM, por lo que ES MUY IMPORTANTE añadir extensión HTM al VSHIELD

Se controla desde DATS 4086, ya disponibles en nuestra web. Para bajarlos, acceder a www.satinfo.es y seleccionar, casi al final de la página principal, “Para descargar los DATS para versión 4.xx pulse aquí”, luego copiar el DATS4.ZIP en C:\DATS y ejecutar la tarea AUTOUPDATE. (o bien ejecutar el fichero SDAT4086.exe). En el caso de que se quiera actualizar NT o W2000, aconsejamos ejecutar el SDAT4086.exe, pues de lo contrario habría que modificar la ruta a C:\DATS en la configuración de la tarea “Actualización automática de DAT” para que el Autoupdate utilizara la ruta C:\DATS en lugar de la programada por defecto A:

Anexamos utilidad UNDOJER.REG para corregir el registro de sistema, tras cuya ejecución, se deberá reiniciar la máquina y eliminar los ficheros infectados.
 

SATINFO, VIRUSCAN SPAIN SERVICE                         L.14-7-00
 
 

Anterior