NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior



Nuevo virus troyano de visual basic que se introduce en ficheros y mails

Nombre de virus: VBS / Haptime @ mm

Alias conocidos: VBS.Happytime.A, VBS / Help

Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)

Activación: Si día + mes = 13 borra los ficheros EXE y DLL del disco duro

Infección: Por apertura e-mail infectado o acceso a web infectada

Detección: DATS 4136

Motor necesario: engine 4.0.70

Infección actual: Inicial (Inicial, Media, Elevada)

Un nuevo troyano con fecha de activación mensual de borrado de EXE y DLL, ya ha sido detectado en nuestro pais, y controlado por los DATS 4136.

Tiene dos métodos de activación, que la suma del día del mes mas el número del mes dentro del año sea 13, y que las veces que se haya ejecutado el virus sea múltiplo de 366, si bien existe un bug en la última rutina que impide el payload en cuestión, consistente en envíar por e-mail a todas las direcciones de Outlook el mail infectado, y contestar a los emails pendientes de lectura.

En cambio el primer payload de que la suma del día y del mes sea 13, se cunplirá cada mes y funciona totalmente, borrando los ficheros EXE y DLL del disco duro, los cuales pueden ser recuperados mediante utilidades aparte, disponibles en SATINFO, que pueden solicitarnos los asociados afectados.

Si bien este virus está "in the wild" en China, ya hemos tenido noticias de su existencia en Expaña en el momento de redactar estas líneas.

Los ficheros que infecta tienen extensiones HTML, VBS, HTM, ASP y HTT.

Cuando se ejecuta, crea una copia de sí mismo en cuatro ficheros, dos de ellos en el primer directorio del directorio principal, HELP.VBS y HELP.VBA, y otros dos en el directorio de Windows, HELP.HTM y UNTITLED.HTM.

El virus modifica 4 claves del registro, una para ser cargado en cada inicio y proceder a incrementar el contador, y las otras tres para autoenviar con cada mail enviado con Outlook Express, el fichero UNTITLED.HTM. Tras ello, en el siguiente reinicio se infectarán todos los HTT del directorio Web de Windows

Para detectar y eliminar este virus, basta con utilizar engine y DATS indicados y para restaurar las claves de registro hemos creado la utilidad ELIHAPTI.EXE que pueden bajar de nuestra web www.satinfo.es , apartado de utilidades.

SATINFO, VIRUSCAN SPAIN SERVICE 8-5-01

Anterior