ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN. Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Clase
Email-Worm
Plataforma
VBS

Clase de padre: VirWare

Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.

Clase: Email-Worm

Email-Worms esparcidos por correo electrónico. El gusano envía una copia de sí mismo como un archivo adjunto a un mensaje de correo electrónico o un enlace a su archivo en un recurso de red (por ejemplo, una URL a un archivo infectado en un sitio web comprometido o un sitio web propiedad de hackers). En el primer caso, el código del gusano se activa cuando se abre (inicia) el archivo adjunto infectado. En el segundo caso, el código se activa cuando se abre el enlace al archivo infectado. En ambos casos, el resultado es el mismo: el código del gusano está activado. Email-Worms utiliza una variedad de métodos para enviar correos electrónicos infectados. Los más comunes son: el uso de una conexión directa a un servidor SMTP utilizando el directorio de correo electrónico integrado en el código del gusano utilizando los servicios de MS Outlook utilizando las funciones de Windows MAPI. Email-Worms utiliza varias fuentes diferentes para encontrar las direcciones de correo electrónico a las que se enviarán los correos electrónicos infectados: la libreta de direcciones en MS Outlook una base de datos WAB. Archivos .txt almacenados en el disco duro: el gusano puede identificar qué cadenas en los archivos de texto son direcciones de correo electrónico correos electrónicos en la bandeja de entrada (algunos Email-Worms incluso "responden" a los correos electrónicos que se encuentran en la bandeja de entrada) Muchos Email-Worms usan más de una de las fuentes mencionadas anteriormente. También hay otras fuentes de direcciones de correo electrónico, como libretas de direcciones asociadas con servicios de correo electrónico basados ​​en la web.

Más información

Plataforma: VBS

Visual Basic Scripting Edition (VBScript) es un lenguaje de scripts interpretado por Windows Script Host. VBScript es ampliamente utilizado para crear scripts en sistemas operativos Microsoft Windows.

Descripción

Detalles técnicos

Este gusano está escrito en el lenguaje Java Script, que, para su propagación, usa MS Outlook Express. El gusano no se adhiere a los mensajes como lo hacen los virus regulares de lombrices, sino que incorpora su cuerpo en un mensaje como un programa de script.

El gusano solo funciona en versiones de Windows en inglés y francés. Tampoco funciona en el caso de que Windows esté instalado en un directorio que no sea "C: WINDOWS".

El gusano es totalmente compatible solo con MS Outlook Express. En MS Outlook, el gusano se activa e infecta el sistema, pero no puede extenderse más, ya que se dirige a MS Outlook Express solo para distribuir sus copias. En otros sistemas de correo electrónico, la funcionalidad del gusano depende de las características de ese sistema.

Al infectar el sistema, el gusano crea tres archivos adicionales con su copia. En primer lugar, dos de ellos se utilizan para infectar el sistema y el último se utiliza para difundir el código del gusano a través del correo electrónico infectado:

1. KAK.HTA en la carpeta de inicio de Windows
2. archivo aleatorio con nombre .HTA en la carpeta del sistema de Windows
3. Archivo KAK.HTM en la carpeta de Windows

El gusano tiene una rutina de carga útil. El 1 de cualquier mes después de las 5:00 p. M., Muestra el siguiente mensaje:

¡Kagou-Anti-Kro $ oft dice que no hoy!

obligando a Windows a salir después de eso.

Extensión

El gusano llega a una computadora como un mensaje de correo electrónico en formato HTML. El cuerpo del mensaje contiene un script (programa de script Java) que es el propio cuerpo del gusano. Ese programa no aparece en la pantalla, porque, en documentos HTML, los programas de script nunca se muestran. Como resultado, al abrir un mensaje infectado (o al previsualizar), solo se muestra el cuerpo del mensaje y no se ve ningún código de gusano, pero el script ejecuta automáticamente el script y el gusano recibe el control.

El gusano infecta el sistema y se propaga en tres pasos.

1. El gusano crea su copia como un archivo de disco en una carpeta de inicio de Windows (autoarranque).

2. Cuando el gusano se ejecuta desde la carpeta de inicio de Windows, se mueve al directorio del sistema de Windows, registra esa nueva copia en el registro del sistema en la sección de inicio automático y elimina la primera copia de la carpeta de inicio de Windows.

3. El gusano accede a la sección de registro de MS Outlook Express y registra allí la copia del gusano como una firma predeterminada. Outlook Express enviará automáticamente el código del gusano a través de todos los mensajes que se envían.

El gusano necesita estos pasos, porque en la primera fase solo puede acceder a los archivos de disco, no al registro del sistema, por lo que debe ejecutarse desde un archivo de disco (desde "Zona de intranet local") para modificar las claves de registro. Luego, el gusano borra su copia de la carpeta de inicio de Windows para ocultarse, y todos los programas están visibles en el menú StartProgramsStartup.

Difundir: paso 1: se ejecuta desde un mensaje infectado

Tras la activación de un mensaje infectado, el gusano obtiene acceso al disco local de una computadora. Para evitar la protección de seguridad (el acceso al disco local está prohibido de manera predeterminada), el gusano usa una brecha de seguridad llamada "vulnerabilidad de seguridad de TypeLib". El gusano crea un objeto ActiveX marcado como seguro para secuencias de comandos y tiene la capacidad de escribir archivos en el disco. Al usar ese objeto ActiveX, el gusano obtiene acceso por escrito al disco.

El gusano crea el archivo KAK.HTA y coloca su propio código allí. Ese archivo se coloca en el directorio de inicio de Windows y, como resultado, se ejecutará en el próximo inicio de Windows.

Comentario:

Un archivo HTA es una aplicación HTML: el tipo de archivo que aparece después de la instalación
Internet Explorer 5.0. Los archivos HTA contienen texto HTML regular con scripts
dentro, pero al ejecutarse, se ejecuta como una aplicación independiente, sin
el shell de Internet Explorer. Proporciona la posibilidad de escribir poderosos
aplicaciones que usan scripts regulares dentro de HTML.

Al crear el archivo KAK.HTA, el gusano no determina una ruta real al directorio de Windows y siempre supone que Windows está instalado en la carpeta "C: WINDOWS". Por lo tanto, el gusano no se puede propagar en un sistema donde Windows se ha instalado en un directorio diferente a "C: WINDOWS". El gusano prueba dos variaciones de la carpeta de inicio de Windows a la que colocar su copia:

MENUD� ~ 1PROGRA ~ 1D�MARR ~ 1 (nombre predeterminado en la versión francesa de Windows)
STARTM ~ 1ProgramsStartUp (nombre predeterminado en la versión de Windows en inglés)

En el caso de que el directorio de inicio de Windows tenga otro nombre (en otra localización de Windows), el gusano no puede escribir su archivo allí y, por lo tanto, no puede extenderse más.

Difundir: paso 2 - se ejecuta desde KAK.HTA

Tras el siguiente reinicio de Windows, el archivo "KAK.HTA" se activa desde el directorio de inicio de Windows. El programa de script dentro de ese archivo crea el mismo archivo HTA en el directorio de sistema de Windows. Ese archivo tiene un nombre dependiente del sistema (como "9A4ADF27.HTA"). El gusano luego modifica el registro del sistema para ejecutar ese archivo en cada inicio de Windows. En caso de que un usuario cambie la firma predeterminada de Outlook Express, la secuencia de comandos en este archivo restaurará los componentes del gusano y la configuración del registro; es decir, volverá a infectar el sistema.

La secuencia de comandos "KAK.HTA" crea el archivo "KAK.HTM" que contiene solo el código del gusano en el interior (esa página HTML no tiene ningún texto para mostrar que no sea solo la secuencia de comandos pura del gusano). Este archivo se usa más adelante para infectar mensajes.

Finalmente, la secuencia de comandos se agrega a los comandos de archivo "C: AUTOEXEC.BAT" que eliminan "KAK.HTA" del directorio de inicio, porque ya no los necesita.

Difundir: paso 3 - enviar mensajes infectados

El mismo script ("KAK.HTA") luego modifica el registro del sistema. Crea una nueva firma de Outlook Express que hace referencia al archivo "KAK.HTM" y establece esta firma como la firma predeterminada en Outlook Express. A partir de ese momento, cada vez que Outlook Express redacta un mensaje, insertará la firma infectada en el mensaje (el contenido del archivo "KAK.HTM").

El gusano solo puede difundir a través de los mensajes HTML (y estos son los valores predeterminados de MS Outlook Express). Los mensajes RTF y "Texto sin formato" no están infectados y no se pueden infectar.

Protector

El problema es que el escaneo regular de antivirus utilizando escáneres bajo demanda no brinda protección contra este tipo de gusanos. Cada vez que se abre un mensaje infectado en Outlook, el gusano aparecerá nuevamente. Además, si Outlook Express se configura para mostrar un panel de vista previa, basta con seleccionar el mensaje infectado de la lista para que se active el gusano.

1. Para protegerse, es posible utilizar los escáneres de acceso para capturar el gusano en el momento en que se escribe en el disco. Pero los escáneres en acceso no pueden evitar la activación del gusano, porque las secuencias de comandos de los mensajes HTML se ejecutan directamente en la memoria del sistema, no se almacenan y se ejecutan desde un archivo de disco.

El mejor curso de acción es utilizar utilidades antivirus que verifican los programas de scripts justo antes de que se ejecuten (consulte "AVP Script Checker"). Tales programas pueden prevenir la activación del gusano y la infección del sistema.

2. Para escribir su propio archivo en el disco, el gusano usa una violación de seguridad de Internet Explorer 5.0. Microsoft ha lanzado una actualización que elimina la vulnerabilidad de seguridad "Scriptlet.Typelib". Le recomendamos encarecidamente que visite http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP e instale esta actualización.

3. Si no planea utilizar ninguna aplicación HTML (archivos HTA) en el trabajo, existe otra forma de prevenir la infección por virus de este tipo (los gusanos y virus que usan archivos HTA para propagarse). Es necesario eliminar la asociación de archivos para la extensión .HTA. Para hacer esto, debes seguir varios pasos:

1. Haga doble clic en el ícono "Mi PC" en su escritorio.
2. Desde la ventana que aparece, elija el menú "Ver" -> "Opciones ...".
3. En la pestaña "Tipos de archivo" en el cuadro de lista "Tipos de archivos registrados", seleccione el elemento "Aplicación HTML".
4. Haga clic en el botón "Eliminar" y confirme la acción.
5. Cierre el cuadro de diálogo de opciones.

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com

¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!
Kaspersky Next:
ciberseguridad redefinida
Leer más
Nuevo Kaspersky
¡Su vida digital merece una protección completa!
Leer más
Confirm changes?
Your message has been sent successfully.