SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Nuevo virus worm con autoenvio a través de la libreta del Outlook/IRC
Nombre de virus: VBS / Jer
Alias conocidos: JER.HTM , VBS.1ON.1MAIL, VBS/Jer
Riesgo Infección:Bajo (Bajo, Alto, Muy Alto)
Activación: Modifica registro de sistema, cambiando datos
Propagación: Por autoenvio de worm a través de Outlook / IRC
Detección: Desde DATS 4086
Motor necesario: Engine 4.0.50 o superior
Infección actual: Inicial (Inicial, Media, Elevada)
Nuevo tipo de virus que se activa con solo abrir el documento HTML, pues lleva embebida una rutina escrita en Visual Basic Script, que se propaga a través de canales de IRC (Chats) y por autoenvío de e-mails a través de las funciones MAPI, a las direcciones del Outlook.
Inicialmente se propagó gracias a una web en la que se ofrecía acceso a “THE 40 WAYS WOMEN FAIL IN BED”, con lo que se ejecutaba el fichero HTML en cuestión, y se empezó a distribuir por Chat y por e-mail, tal y como acostumbran estos “gusanos” (worms)
Existen dos variantes de dicho virus. La primera crea en la estación de trabajo, el fichero “EWELL.HTM”, y en la segunda variante el nombre cambió por el de “1ON1MAIL.HTM”. Estos ficheros son ejecutados en los siguientes arranques gracias a la clave en el registro de sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Además modifica otras claves y
cambia el MIRC.INI o el SCRIPT.INI, para, a continuación, iniciar su propagación por
chat y por e-mail.
El mail que envía tiene anexado un fichero
con extensión HTM, por lo que ES MUY IMPORTANTE añadir extensión HTM al VSHIELD
Se controla desde DATS 4086, ya disponibles en nuestra web. Para bajarlos, acceder a www.satinfo.es y seleccionar, casi al final de la página principal, “Para descargar los DATS para versión 4.xx pulse aquí”, luego copiar el DATS4.ZIP en C:\DATS y ejecutar la tarea AUTOUPDATE. (o bien ejecutar el fichero SDAT4086.exe). En el caso de que se quiera actualizar NT o W2000, aconsejamos ejecutar el SDAT4086.exe, pues de lo contrario habría que modificar la ruta a C:\DATS en la configuración de la tarea “Actualización automática de DAT” para que el Autoupdate utilizara la ruta C:\DATS en lugar de la programada por defecto A:
Anexamos utilidad UNDOJER.REG para
corregir el registro de sistema, tras cuya ejecución, se deberá reiniciar la máquina y
eliminar los ficheros infectados.
SATINFO, VIRUSCAN SPAIN
SERVICE
L.14-7-00
