Descripción

JS/Yama es un gusano similar a "JS/KAK" que se propaga vía E-mail en formato Javascript en Windows 95/98/NT/2000/ME, el gusano explota una vulnerabilidad en Internet Explorer 4.0 y 5.0 llamado scriptlet.typelib/eyedog,este fallo permite activar el virus con solo visualizar el mensaje y sin necesidad de abrir ningún archivo adjunto.

PRIMERA PARTE:

Al leer un mensaje infectado se activa el script del gusano y conecta el navegador a: http://orbita.starmedia.com/~yamaperu/yama.gif

Yama.gif no es un archivo GIF sino un archivo .HTA (HTML Application) renombrado que contiene la tercera parte del gusano y será utilizado al reiniciar el sistema.

Inmediatamente el gusano crea un archivo "yama1.hta" en la carpeta de Inicio de Windows (C:\Windows\Menú Inicio\Programas\Inicio o C:\Windows\StartMenu\Programs\Startup).

JS/Yama.A solamente trabaja si Windows está instalado en C:\WINDOWS, si no es el caso el gusano no puede crear el archivo "yama1.hta" y termina su ejecución.

SEGUNDA PARTE:

Al reiniciar el sistema se ejecuta automáticamente el archivo "yama1.hta" desde INICIO o STARTUP y copia el archivo Yama.gif (ver primera parte) como:

C:\WINDOWS\Yama.hta
C:\WINDOWS\Menú Inicio\Programas\Inicio\Yama.hta

TERCERA PARTE:

Nuevamente al reiniciar el sistema, se ejecuta esta vez el archivo "Yama.hta" que contiene el código real del gusano y realiza las siguiente acciones:

Copia el archivo "yama.hta" desde INICIO / STARTUP hacia C:\Windows y lo añade al registro para ejecutarse en cada Inicio del sistema:
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yama"="C:\Windows\Yama.hta"

Borra los archivos "yama1.hta" y "yama.hta" de INICIO / STARTUP

Modifica la página de Inicio de Internet Explorer a "http://orbita.starmedia.com/~yamaperu"

Crea un archivo "C:\WINDOWS\Alan.htm" y lo coloca como imagen de fondo en Internet Explorer vía el registro.

Crea un archivo "C:\WINDOWS\Alan.reg" que modifica la interface del Explorer.

Crea los archivos:
- C:\WINDOWS\Yamalauncher.html (código del gusano)
- C:\WINDOWS\Yamalauncher.rtf (contiene un link al URL del gusano)
- C:\WINDOWS\Yamalauncher.txt (contiene un link al URL del gusano)

Para propagarse a otros equipos JS/Yama no se envía automáticamente a la libreta de direcciones sino que crea una Firma (signature) para "Microsoft Outlook" o "Outlook Express". La firma es creada de tal forma que se incluya el archivo "C:\WINDOWS\yamalauncher.html" a todos los mensajes de salida en código HTML.

VARIANTES:

JS/Yama.B: Detectada con el registro del 20/04/2001, la diferencia más significativa con la variante original .A es que no necesita "C:\WINDOWS" para funcionar, esta variante opera en cualquier instalación de Windows, asimismo el gusano se encuentra encriptado.

DETECCION / ELIMINACION:

Para detectar y eliminar JS/Yama.A utilice The Hacker con registro de virus al 28/03/2001, para la variante .B registro al 20/04/2001.

Se recomienda instalar los parches para este y otros fallos de seguridad en los productos Microsoft para evitar que otro virus con características similares se pueda activar con solo leer el mensaje y sin abrir ningún archivo adjunto.

Parches de Microsoft para vulnerabilidad scriptlet.typelib/eyedog:
http://www.microsoft.com/msdownload/iebuild/scriptlet/en/scriptlet.htm

Boletines y parches de seguridad para otras vulnerabilidades:

http://www.microsoft.com/security/bulletins/current.asp (boletines de seguridad)

http://www.microsoft.com/technet/security/bulletin/ms99-032.asp (parche para fallo en scriptlet.typelib/Eyedog)

http://www.microsoft.com/technet/security/bulletin/MS00-043.asp (parche para cabeceras en formato MIME)

http://officeupdate.microsoft.com/2000/downloadDetails/Out2ksec.htm (parche para Outlook attachments)

Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú