|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
Llega en un mail con asunto Scherzo! Indicando llevar anexo fichero Javascript.exe, que es ejecutado automáticamente con Outlook por solo leer el mail, o marcar el título del mail si se tiene la vista previa activada.
Se autoenvía a todas las direcciones de Windows Adress Book (WAB) cada vez que se lee el indicado e-mail. Debe desactivarse la vista previa y eliminar dicho mail .
Nombre de virus: W32/Zoher @ MM
Alias conocidos: W32/Sheer.A,
I-worm.Zoiher, Scherzo
Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: No tiene payload destructivo, solo se
autoenvía a las listas WAB
Propagación: .Por
envío masivo de mails, con fichero infectado, a las listas de Windows.
Detección: DATS 4179
Motor necesario: 4.1.00
Infección actual: Inicial (Inicial, Media, Elevada)
Se trata de otro virus de propagación masiva, que se autoenvía a todas las direcciones de la libreta de Windows Adress Book (WAB), en un e-mail con ASUNTO: Fw: Scherzo! y nombre de fichero anexado : Javascript.exe
Este virus es del tipo MIME, que aprovecha un agujero de seguridad del Outlook para que el fichero anexado sea ejecutado simplemente por leer el e-mail, e incluso, si se tiene la vista previa activada, con sólo iluminar el título del mail , ya se ejecutará el virus
Es muy importante aplicar los parches de Microsoft, para el Internet Explorer 5.01 y 5.5, disponibles en <http://www.microsoft.com/windows/ie/downloads/critical/q290108/download.asp>, o bien actualizar a Internet Explorer 6 y aplicarle el parche de seguridad de Microsoft del 13 de Diciembre, <http://www.microsoft.com/windows/ie/downloads/critical/q313675/>, con lo cual este tipo de virus y otros similares, muy en boga actualmente, como el BADTRANS, el NIMDA, y ahora este ZOHER, no serían ejecutados por leer simplemente el mail, y solo podrían entrar por ejecución exprofesa del fichero anexado, en cuyo caso el antivirus actualizado ya detendría dicha ejecución.
Realmente la lectura del e-mail conecta con la web http:// banners.interfree.it-desde la que utiliza un agujero de Internet Explorer conocida como Malformed MIME header vulnerability (MS01-020), documentada en la web de Microsoft, por la que baja un fichero de texto de 40 líneas en italiano y ejecuta un fichero (que no veremos) de nombre javascript.exe. Desde los DATS 4179 y engine mínimo 4.1.00 se detecta dicho virus, si bien su eliminación es tan simple como eliminar el mail en cuestión, que tiene de nombre Scherzo!. Para eliminarlo recomendamos primero desactivar la vista previa, para poder seleccionarlo sin activar el virus, y luego, desde el Outlook, eliminar el mail, e incluso a continuación, vaciar los elementos eliminados.
SATINFO, VIRUSCAN SPAIN SERVICE 4-01-2002