Ver Mensaje Individual
  #4 (permalink)  
Antiguo 15/05/2004, 13:17
Avatar de ariben
ariben
 
Fecha de Ingreso: enero-2002
Mensajes: 67
Antigüedad: 22 años, 10 meses
Puntos: 0
Nombre: VBS/Redlof
Alias: VBS.Redlof, VBS/Redlof, VBS/Redlof@M, VBS_REDLOF.A, HTML.Redlof.A, VBS/Redlof@MM, VBS/RedLof.damaged
Tipo: Gusano, Polimórfico
Tamaño: 11,518 bytes
Origen: Internet
Destructivo: NO
En la calle (in the wild): SI
Detección y Eliminación The Hacker 5.2 Registro de Virus al: 30/04/2002


Descripción

VBS/Redlof es un gusano que está desarrollado en Visual Basic Script, su modo de infección es a través de un script, el cual llega en un mensaje con formato HTML, el cual esta oculto para el usuario, o a través de páginas web infectadas, para poder realizarlo el gusano se aprovecha de una vulnerabilidad en el componente "Microsoft Virtual Machine ActiveX " que permite la ejecución del código oculto en los mensajes con formato, con tan solo visualizarlos.

Cuando el gusano se ejecuta procede a infectar a todos los archivos con la siguientes extensiones : .HTM, .HTT, .ASP, .PHP, .JSP y .VBS añadiendoles el código del virus.

Luego el gusano tratara de enviarse por email, para ello utilizara e infectara el archivo blank.htm (página en blanco predeterminada de Outlook y Outlook Express que es utilizado como fondo en cada mensaje). Este archivo se encuentra en la siguiente ubicación:

C:\Program Files\Common Files\Microsoft Shared\Stationery\blank.htm

En caso no encuentre este archivo procedera a crearlo. Ademas para poder utilizar este archivo el gusano modificara las siguientes entradas en el registro del sistema:

HKEY_CURRENT_USER\Identities\[ID Predeterminado]\Software\Microsoft\Outlook Express\[ID Usuario]\Mail
"Compose Use Stationery"="1"


HKEY_CURRENT_USER\Identities\[ID Predeterminado]\Software\Microsoft\Outlook Express\[ID Usuario]\Mail
"Stationery Name"="blank.htm"


HKEY_CURRENT_USER\Identities\[ID Predeterminado]\Software\Microsoft\Outlook Express\[ID Usuario]\Mail
"Wide Stationery Name"="blank.htm"


HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet\
Settings\ 0a0d020000000000c000000000000046
"001e0360"="blank"


HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\
Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046
"001e0360"="blank"


HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\C ommon\MailSettings
"NewStationery"="blank"

Donde : [ID Usuario] es obtenido de la siguiente entrada en el registro: HKEY_CURRENT_USER\Identities\Default User ID


Luego el virus creara un archivo llamado KERNEL.DLL en la siguiente ubicación :

C:\WINDOWS\SYSTEM\Kernel.dll

Ademas modificara la siguiente entrada en el registro del sistema para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
"Kernel32"="C:\WINDOWS\SYSTEM\Kernel.dll"


También modifica algunas entradas en el registro para poder asociar los archivos .dll al WSCRIPT.EXE (Windows Scripting Host)

Finalmente el virus infecta el archivo FOLDER.HTT, el cual está en :
C:\WINDOWS\Web\folder.htt

Al infectar el archivo folder.htt se cambia automáticamente la configuración normal del Explorador de Windows, de tal forma que a partir de ese momento cada vez que el usuario ingresa a una carpeta se crean los archivos folder.htt y desktop.ini.

Acerca de los archivos FOLDER.HTT y DESKTOP.INI:

Hay muchas consultas de los usuarios acerca de estos archivos.

Los archivos folder.htt y desktop.ini pertenecen a Windows y manejan la visualización de las carpetas. Estos archivos son utilizados como plantillas cuando el modo "Vista Web" está activo.

El archivo folder.htt puede se infectado con un virus, eso no significa que el archivo folder.htt como tal sea virus.

Al eliminar el virus VBS/RedLof los archivos folder.htt y desktop.ini seguirán existiendo pero ya no están infectados. Windows continuará creando los archivos folder.htt y desktop.ini en cada carpeta que ingrese, esta vez los archivos creados están limpios.

Para evitar que Windows continue creando los archivos folder.htt y desktop.ini se recomienda borrarlos. Para ello realice una búsqueda vía:

- Menú Inicio
- Opción "Buscar"
- Opción "Archivos o Carpetas"
- ingrese FOLDER.HTT y el botón Aceptar

Una vez que aparecen los archivos búscados marquelos y borrelos, repita la operación con el archivo Desktop.ini

Si su explorador de Windows no está configurado para visualizar "Todos los archivos" active la opción antes de Buscar:

Windows 95/98/ME:
- Ejecute el explorador de Windows
- Menú Ver
- Opción "Opciones de Carpeta"
- Pestaña "Ver"
- En la opción "Archivos ocultos" active la casilla "Mostrar todos los archivos"

Windows XP:
- Ejecute el explorador de Windows
- Menu Herramientas
- Opción "Opciones de Carpeta"
- Pestaña "Ver"
- En la opción "Archivos y Carpetas ocultos" active la casilla "Mostrar todos los archivos y carpetas ocultos"

RECOMENDACIONES PARA VULNERABILIDADES:

Microsoft ha desarrollado un parche contra la vulnerabilidad en el componente "Microsoft Virtual Machine ActiveX ". el cual está disponible en :

http://www.microsoft.com/technet/sec...n/MS00-075.asp

Informacion acerca del funcionamiento y uso de los archivos Folder.htt y Desktop.ini la puede encontrar en la web de Microsoft
__________________
cvh