|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
Virus VBS/Freelink:
Alias conocidos: FREELINK.INI, FREELINK.URL
Peligrosidad: ALTA ( BAJA. ALTA, MUY ALTA)
Propagación: POR E-MAIL Y CHAT MUY RAPIDA
Detección: VirusScan desde 4035
Infección actual: Minima (MINIMA, MEDIA, ELEVADA)
NUEVO VIRUS TIPO "GUSANO" QUE CORRE POR INTERNET:
Es un gusano (worm) que se propaga por e-mail, (envia fichero anexado tipo VBS que inicia el proceso de infección al ejecutarlo), también busca recursos compartidos y se copia en \Windows de todas las unidades locales y remotas, y también entra por IRC si se está conectado en un CHAT a través de mIRC o PIRCH98.
Con Windows 95 precisa tener instalado el Windows Scripting Host,
para poder ejecutar el VBS. Con Windows 98 y 2000 ya viene implementado de serie.
Entra a través del Outlook, por un e-mail cuyo tema es "Check this" y cuyo texto es :"Have fun with these links. Bye". Hasta aquí normal, pero anexo a esta cabecera hay el fichero LINKS.VBS, que al abrirlo se autoenvía a las direcciones de la libreta del Outlook, y a continuación borra todos los mensajes de la bandeja de salida.
Es igual que el Melissa, pero mucho peor pues aquel limitaba a 50 primeras direcciones del outlook (solo una vez) el envío de un mail infectado, este otro envía tantos como direcciones, colapsando el servidor de correo
En C:\WINDOWS\SYSTEM\ graba un script Rundll.vbs que se carga cada vez que se inicializa WINDOWS, al haber cambiado el registro de sistema. Tras ello presenta el siguiente mensaje en pantalla:
"This will add a shortcut to free XXX links on your desktop. Do you want to continue? (Yes/No)
Si se contesta Yes, crea un acceso directo FREE xxx LINKS.URL cuya ejecución lleva a una página web X, sublimedirectory.com.
Tras ello, busca los recursos compartidos y se copia a si mismo en el directorio raíz de cada una de las unidades de la red a las que está conectado el usuario y tras arrancar copia el Links.VBS en el directorio Windows de cada unidad..
Por otra parte busca el fichero MIRC32.EXE del directorio C:\MIRC y si lo encuentra, sustituye el fichero SCRIPT.INI por otro creado por el gusano: También si el usuario usa el PIRCH98, repite la misma acción si encuentra el fichero EVENTS.INI en C:\PIRCH98
Por último se propaga a través del CHAT. automáticamente cuando los usuarios entran en un CHAT a través de mIRC o PIRCH98 al que esté conectado el ordenador infectado
El virus puede controlarse actualizando el antivirus a los ficheros DAT 4035 o posteriores.
El examen debe realizarse mirando todas las extensiones, para poder controlar también las URL, y suprimir todos los ficheros afectados con este virus.
SATINFO, VIRUSCAN SPAIN SERVICE