|
|
| Nombre: | VBS/HappyTime@mm Alias: VBS.HappyTime.A, VBS/Help, VBS_Haptime.A, VBS/Helper |
| Tipo: | Gusano E-mail |
| Tamaño: | varia |
| Origen: | Internet |
| Destructivo: | SI (borra archivos con extensión .EXE y .DLL) |
| En la calle (in the wild): | SI |
| Eliminación | The Hacker 5.0 al 09/05/2001 |
Descripción
VBS/HappyTime es un Virus que se propaga por e-mail en código Script (formato HTML).
En Microsoft Outlook y Outlook express el virus explota un fallo de seguridad en Interner Explorer 4.0 y 5.0 llamado scriptlet.typelib/EyeDog, este fallo permite activar el virus con solo visualizar el mensaje y sin necesidad de abrir ningún archivo adjunto
Infección:
Al recibir un mensaje infectado en Microsoft Outlook o Outlook Express el virus se activa con solo leer el mensaje, en ese momento busca archivos con extensión HTML, VBS, HTM y ASP en el disco duro y añade su código al final.
El virus crea los archivos HELP.HTA y HELP.VBS en el primer directorio de la unidad C: que encuentre, además crea los archivos HELP.HTM y UNTITLED.HTM en la carpeta WINDOWS (por defecto C:\Windows)
Para activar su código en cada inicio del sistema el virus añade
una referencia en el registro:
HKEY_CURRENT_USER\Control Panel\Desktop\WallPaper=c:\windows\help.htm
El virus infecta todos los archivos con extensión .HTT en la carpeta WINDOWS\WEB, el virus será activado cada vez que el usuario abra una carpeta del disco duro con el Explorador de Windows o Interner Explorer.
Para propagarse a otros equipos VBS/HappyTime no se envía automáticamente a la libreta de direcciones sino que crea una Firma (signature) para "Outlook Express". La firma es creada de tal forma que se incluya el archivo "C:\WINDOWS\Untitled.htm" a todos los mensajes de salida en código HTML.
Activación (daño):
El virus verifica si el día actual más el mes actual es 13 (dia+mes=13?),
de ser así:
- Borra todos los archivos EXE y DLL en todas las unidades accesibles.
- Se envía en forma automática a todos los contactos en la libreta de direcciones del Outlook
- Activa nuevamente al gusano 366 veces. En este momento aparecen muchas ventanas con el titulo "WSCRIPT.EXE" y el sistema se vuelve lento.
DETECCION / ELIMINACION:
Para detectar y eliminar VBS/HappyTime utilice The Hacker con registro de virus al 09/05/2001.
Se recomienda instalar los parches para este y otros fallos de seguridad en los productos Microsoft para evitar que otro virus con características similares se pueda activar con solo leer el mensaje y sin abrir ningún archivo adjunto.
Parches de Microsoft para vulnerabilidad scriptlet.typelib/eyedog:
http://www.microsoft.com/msdownload/iebuild/scriptlet/en/scriptlet.htm
Boletines y parches de seguridad para otras vulnerabilidades:
http://www.microsoft.com/security/bulletins/current.asp (boletines de seguridad)
http://www.microsoft.com/technet/security/bulletin/ms99-032.asp (parche para fallo en scriptlet.typelib/Eyedog)
http://www.microsoft.com/technet/security/bulletin/MS00-043.asp (parche para cabeceras en formato MIME)
http://officeupdate.microsoft.com/2000/downloadDetails/Out2ksec.htm (parche para Outlook attachments)
Derechos reservados 1992/2001 HackSoft S.R.L. Lima-Perú