|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
Nuevo Virus VBS/GRIMGRAM@MM de propagación masiva por e-mail (en castellano), anexando
fichero con extensión MHT, además de propagarse por otros medios como KaZaA e IRC.
PAYLOADS: No se le conocen otros mas que su propagación masiva
Nombre de virus: VBS/GRIMGRAM@MMSe trata un gusano que al propagarse masivamente por e-mail con picarescos Asuntos, texto en castellano y fichero anexado infectado, con extensión MHT (es realmente un HTML), puede infectar muchos ordenadores en nuestro país, a pesar de ser detectable con el antivirus actualizado y bien configurado, (DATS 4250 ya existentes en nuestra web, teniendo seleccionada la opción de examinar ficheros predeterminados (tal y como queda instalado por defecto con la instalación de nuestro CDROM 4237).
Hacemos énfasis en lo de extensiones predeterminadas, pues si se tiene seleccionado las extensiones definidas por el usuario, lo mas seguro es que no tenga controlada la extensión MHT, que es la que utiliza este virus para el fichero que envía anexado al e-mail, y que Windows tiene asociada al internet explorer. Por tanto si hacemos doble clic con el mouse sobre el indicado fichero, se abrirá el navegador con la conecuente ejecución del Script vírico en él incluido, y aunque tuviésemos los últimos DATS, si no controlamos dicha extensión el antivirus no detendrá dicha ejecución, mientras que si se tiene seleccionada la opción de examinar ficheros con extensiones predeterminadas, McAfee va añadiendo extensiones en función de los DAT, y la MHT ya está contemplada en ellos.
Por otro lado, la variedad de asuntos y mensajes, así como la intencionalidad de los mismos, haciéndose pasar por retornos de e-mail enviados, o por aparentar ser un e-mail de Microsoft avisando de un nuevo parche para nuevas vulnerabilidades del Internet Explorer 5 y 6, o aparentando proceder de nuevas web que ofrecen interesantes servicios, contactos, juegos, películas, etc., puede facilitar su propagación.
Para el conocimiento del contenido de dichos asuntos, mensajes y ficheros anexados, transcribimos literalmente lo indicado al respecto en la web de NAI, con errores gramaticales incluidos:
Subject: Mail Delivery Return System
Body: El Mensage que envio no pudo ser entregado a uno o más destinatarios
Attachment: MailFile.mht
Subject: Invitacion
Body: Lo invitamos a visitar nuestro nuevo sitio FTP, donde podra acceder a una gran
cantidad de contenidos y archivos. Un Servicio de FreeServer, para entrar pulse sobre el
enlace enviado.
Attachment: www.ftpfree.mht
Subject: Microsoft Internet Explorer
Body: Microsoft advierte de una nueva vulnerabilidad en el navegador Internet Explorer 5.X
y 6.X, que podría, hacer que un atacante, tomara el control de una pc afectada, muy
facilmente, se ruega leer el boletin adjunto y descargar el parche para solucionar este
problema. Att. Microsoft Corporation.
Attachment: Microsoft Bulletin 207.mht
Subject: Models
Body: Models a renovado su site, y lo(a) invita a visitar la coleccion de fotografías de
las(o) modelos y artistas mas conocidos. Pulse sobre el enlace enviado para entrar.
Attachment: www.Models.mht
Subject: Games OnLine
Body: Visita nuestro nuevo site, donde podras descargar gran cantidad de juegos, o entrar
a nuestras salas de multijugadores online, la seccion de juegos 3D esta recomendada. Pulsa
el enlace enviado para entrar.
Attachment: www.gmol.mht
Subject: Buscas Amistad o Amor?
Body: Quieres conocer amigas y amigos o buscas pareja? Visita nuestro site y conoce a
gente como tú Pulsa el enlace enviado para entrar.
Attachment: www.rdA.mht
Subject: Adivinanzas y Trivias
Body: Te gustan las trivias, leyendas, anecdotas, refranes, chistes, test y adivinanzas.
Entonces visita nuestra page y mira los que te enviamos. Pulsa el enlace enviado para
entrar.
Attachment: Trivia.mht
Subject: Te Estan Espiando?
Body: Esta proliferando el Spyware(Software Espía), que instalan programas como Kazaa,
Grokster, entre otros. El Spyware informa a los servidores del programa que lo instaló,
sobre las paginas que visitas y demás habitos de navegacion, con los cuales ellos
elaboran perfiles comerciales de usuario Y a diferencia de los troyanos, son legales ya
que al instalar estas aplicaciones nos aparece un contrato en ingles(que la mayoría no
leemos), y al aceptar estamos permitiendo esto, por lo que muchos antivirus no los
detectan, y lo peor es que si le sacamos el Spyware, muchos de estos programas dejan de
funcionar, Esto es una burla para nosotros los usarios. Prueba la herramienta AntiSpyware
Ad-aware(gratuita), que puedes obtenerla en http://www.lavasoft.de ,una de las mejores que
he encontrado. Gracias por darte tiempo para leer esto, no dejemos que esto continue.
Attachment: NoHabrasEsto.mht
Subject: Series, Peliculas, Telenovelas
Body: Quieres descargar alguna pelicula, capítulos de una serie o novela o encontrar
resumenes, adelantos y fotos, o tal vez saber más de sus protagonistas? Entonces busca en
nuestra base de datos, pulsa el enlace enviado para entrar.
Attachment: EnterTvRed.mht
Subject: Confirmacion de Suscripción
Body: Su dirección de correo electronico, fue dada de alta para recibir nuestro boletín,
para confirmar que fue usted el que ingreso su direccion o darse de baja, escriba al email
que aparece al final del boletín. Att.
Attachment: Boletin N.205.mht
El fichero anexado es un documento con formato HTM conteniendo un script encriptado de Visual Basic . Cuando se ejecuta, comprueba que la extensión sea MHT y si lo es, crea una copia de este script en el directorio principal pero con extensión HTA.
Si el sistema está en castellano, ofrece el siguiente mensaje de error:
Error
Esta Pagina Requiere Controles ActiveX para ser mostrada en su totalidad
Presione Actualizar y Acepte
A continuación crea una copia de dicho script en el fichero DEATHLETTER.VBE en el directorio de sistema, y crea una clave en el registro, ejecutándolo en cada reinicio de Windows.
Cuando se reinicia el ordenador y se ejecuta dicho DeathLetter.vbe, recopila todas las direcciones existentes en el "Outlook Contact Fólder" asi como las existentes en documentos *.HTM y *.HTML, y crea dos nuevas claves en el registro como "marcas"´
El virus envía mails a todas estas direcciones, vía MAPI usando el Outlook , y por último envía un mail, supuestamente al creador del virus, a una dirección de latinmail.com, con la información de sistema utilizado en el equipo infectado, empresa y usuario, siendo posiblemente a efectos de registros de infección y estadística.
También para su propagación vía KaZaA utiliza ficheros con extensión MHT, siendo los nombres utilizados los siguientes, todos ellos con el contenido vírico:
Ana Kournikova Sex Video.mht
AVP Antivirus Pro Key Crack.mht
Britney Spears Sex Video.mht
Buffy Vampire Slayer Movie.mht
Crack Passwords Mail.mht
Cristina Aguilera Sex Video.mht
Game Cube Real Emulator.mht
Hentai Anime Girls Movie.mht
Jenifer Lopez Sex Video.mht
Matrix Movie.mht
Mcafee Antivirus Scan Crack.mht
Norton Anvirus Key Crack.mht
Panda Antivirus Titanium Crack.mht
PS2 PlayStation Simulator.mht
Quick Time Key Crack.mht
Sakura Card Captor Movie.mht
Sex Live Simulator.mht
Sex Passwords.mht
Spiderman Movie.mht
Start Wars Trilogy Movies.mht
Thalia Sex Video.mht
Winzip KeyGenerator Crack.mht
Y también con extensiones MHT se propaga vía IRC, con los siguientes nombres:
Aracnofobia.mht
Relatos.mht
www.EstasMuerto.mht
VampireSlayer.mht
Bush_Is_a_Murderer.mht
PARA ELIMINAR EL VIRUS
Se controla desde DATS 4250 y engine 4.1.60, ya existente en nuestra web, www.satinfo.es y para su eliminación debe ejecutarse el ELIGRIM.EXE y, en todos los casos, luego el LIMPIA.EXE para Windows 9x/Me, o LIMPIANT.BAT para equipos basados en tecnología NT (NT, 2000, XP)
Para Descargar la utilidad ELIGRIM.EXE, pulsar AQUI
Para Descargar la utilidad LIMPIA.EXE, pulsar AQUI
Para Descargar la utilidad LIMPIANT.BAT, pulsar AQUI
SATINFO, VIRUSCAN SPAIN SERVICE Barcelona, 27 Febrero 2003