ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.VBS.KakWorm

Clase Email-Worm
Plataforma VBS
Descripción

Detalles técnicos

Este gusano está escrito en el lenguaje Java Script, que, para su propagación, usa MS Outlook Express. El gusano no se adhiere a los mensajes como lo hacen los virus regulares de lombrices, sino que incorpora su cuerpo en un mensaje como un programa de script.

El gusano solo funciona en versiones de Windows en inglés y francés. Tampoco funciona en el caso de que Windows esté instalado en un directorio que no sea "C: WINDOWS".

El gusano es totalmente compatible solo con MS Outlook Express. En MS Outlook, el gusano se activa e infecta el sistema, pero no puede extenderse más, ya que se dirige a MS Outlook Express solo para distribuir sus copias. En otros sistemas de correo electrónico, la funcionalidad del gusano depende de las características de ese sistema.

Al infectar el sistema, el gusano crea tres archivos adicionales con su copia. En primer lugar, dos de ellos se utilizan para infectar el sistema y el último se utiliza para difundir el código del gusano a través del correo electrónico infectado:

1. KAK.HTA en la carpeta de inicio de Windows
2. archivo aleatorio con nombre .HTA en la carpeta del sistema de Windows
3. Archivo KAK.HTM en la carpeta de Windows

El gusano tiene una rutina de carga útil. El 1 de cualquier mes después de las 5:00 p. M., Muestra el siguiente mensaje:

¡Kagou-Anti-Kro $ oft dice que no hoy!

obligando a Windows a salir después de eso.

Extensión

El gusano llega a una computadora como un mensaje de correo electrónico en formato HTML. El cuerpo del mensaje contiene un script (programa de script Java) que es el propio cuerpo del gusano. Ese programa no aparece en la pantalla, porque, en documentos HTML, los programas de script nunca se muestran. Como resultado, al abrir un mensaje infectado (o al previsualizar), solo se muestra el cuerpo del mensaje y no se ve ningún código de gusano, pero el script ejecuta automáticamente el script y el gusano recibe el control.

El gusano infecta el sistema y se propaga en tres pasos.

1. El gusano crea su copia como un archivo de disco en una carpeta de inicio de Windows (autoarranque).

2. Cuando el gusano se ejecuta desde la carpeta de inicio de Windows, se mueve al directorio del sistema de Windows, registra esa nueva copia en el registro del sistema en la sección de inicio automático y elimina la primera copia de la carpeta de inicio de Windows.

3. El gusano accede a la sección de registro de MS Outlook Express y registra allí la copia del gusano como una firma predeterminada. Outlook Express enviará automáticamente el código del gusano a través de todos los mensajes que se envían.

El gusano necesita estos pasos, porque en la primera fase solo puede acceder a los archivos de disco, no al registro del sistema, por lo que debe ejecutarse desde un archivo de disco (desde "Zona de intranet local") para modificar las claves de registro. Luego, el gusano borra su copia de la carpeta de inicio de Windows para ocultarse, y todos los programas están visibles en el menú StartProgramsStartup.

Difundir: paso 1: se ejecuta desde un mensaje infectado

Tras la activación de un mensaje infectado, el gusano obtiene acceso al disco local de una computadora. Para evitar la protección de seguridad (el acceso al disco local está prohibido de manera predeterminada), el gusano usa una brecha de seguridad llamada "vulnerabilidad de seguridad de TypeLib". El gusano crea un objeto ActiveX marcado como seguro para secuencias de comandos y tiene la capacidad de escribir archivos en el disco. Al usar ese objeto ActiveX, el gusano obtiene acceso por escrito al disco.

El gusano crea el archivo KAK.HTA y coloca su propio código allí. Ese archivo se coloca en el directorio de inicio de Windows y, como resultado, se ejecutará en el próximo inicio de Windows.

Comentario:

Un archivo HTA es una aplicación HTML: el tipo de archivo que aparece después de la instalación
Internet Explorer 5.0. Los archivos HTA contienen texto HTML regular con scripts
dentro, pero al ejecutarse, se ejecuta como una aplicación independiente, sin
el shell de Internet Explorer. Proporciona la posibilidad de escribir poderosos
aplicaciones que usan scripts regulares dentro de HTML.

Al crear el archivo KAK.HTA, el gusano no determina una ruta real al directorio de Windows y siempre supone que Windows está instalado en la carpeta "C: WINDOWS". Por lo tanto, el gusano no se puede propagar en un sistema donde Windows se ha instalado en un directorio diferente a "C: WINDOWS". El gusano prueba dos variaciones de la carpeta de inicio de Windows a la que colocar su copia:

MENUD� ~ 1PROGRA ~ 1D�MARR ~ 1 (nombre predeterminado en la versión francesa de Windows)
STARTM ~ 1ProgramsStartUp (nombre predeterminado en la versión de Windows en inglés)

En el caso de que el directorio de inicio de Windows tenga otro nombre (en otra localización de Windows), el gusano no puede escribir su archivo allí y, por lo tanto, no puede extenderse más.

Difundir: paso 2 – se ejecuta desde KAK.HTA

Tras el siguiente reinicio de Windows, el archivo "KAK.HTA" se activa desde el directorio de inicio de Windows. El programa de script dentro de ese archivo crea el mismo archivo HTA en el directorio de sistema de Windows. Ese archivo tiene un nombre dependiente del sistema (como "9A4ADF27.HTA"). El gusano luego modifica el registro del sistema para ejecutar ese archivo en cada inicio de Windows. En caso de que un usuario cambie la firma predeterminada de Outlook Express, la secuencia de comandos en este archivo restaurará los componentes del gusano y la configuración del registro; es decir, volverá a infectar el sistema.

La secuencia de comandos "KAK.HTA" crea el archivo "KAK.HTM" que contiene solo el código del gusano en el interior (esa página HTML no tiene ningún texto para mostrar que no sea solo la secuencia de comandos pura del gusano). Este archivo se usa más adelante para infectar mensajes.

Finalmente, la secuencia de comandos se agrega a los comandos de archivo "C: AUTOEXEC.BAT" que eliminan "KAK.HTA" del directorio de inicio, porque ya no los necesita.

Difundir: paso 3 – enviar mensajes infectados

El mismo script ("KAK.HTA") luego modifica el registro del sistema. Crea una nueva firma de Outlook Express que hace referencia al archivo "KAK.HTM" y establece esta firma como la firma predeterminada en Outlook Express. A partir de ese momento, cada vez que Outlook Express redacta un mensaje, insertará la firma infectada en el mensaje (el contenido del archivo "KAK.HTM").

El gusano solo puede difundir a través de los mensajes HTML (y estos son los valores predeterminados de MS Outlook Express). Los mensajes RTF y "Texto sin formato" no están infectados y no se pueden infectar.

Protector

El problema es que el escaneo regular de antivirus utilizando escáneres bajo demanda no brinda protección contra este tipo de gusanos. Cada vez que se abre un mensaje infectado en Outlook, el gusano aparecerá nuevamente. Además, si Outlook Express se configura para mostrar un panel de vista previa, basta con seleccionar el mensaje infectado de la lista para que se active el gusano.

1. Para protegerse, es posible utilizar los escáneres de acceso para capturar el gusano en el momento en que se escribe en el disco. Pero los escáneres en acceso no pueden evitar la activación del gusano, porque las secuencias de comandos de los mensajes HTML se ejecutan directamente en la memoria del sistema, no se almacenan y se ejecutan desde un archivo de disco.

El mejor curso de acción es utilizar utilidades antivirus que verifican los programas de scripts justo antes de que se ejecuten (consulte "AVP Script Checker"). Tales programas pueden prevenir la activación del gusano y la infección del sistema.

2. Para escribir su propio archivo en el disco, el gusano usa una violación de seguridad de Internet Explorer 5.0. Microsoft ha lanzado una actualización que elimina la vulnerabilidad de seguridad "Scriptlet.Typelib". Le recomendamos encarecidamente que visite http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP e instale esta actualización.

3. Si no planea utilizar ninguna aplicación HTML (archivos HTA) en el trabajo, existe otra forma de prevenir la infección por virus de este tipo (los gusanos y virus que usan archivos HTA para propagarse). Es necesario eliminar la asociación de archivos para la extensión .HTA. Para hacer esto, debes seguir varios pasos:

1. Haga doble clic en el ícono "Mi PC" en su escritorio.
2. Desde la ventana que aparece, elija el menú "Ver" -> "Opciones …".
3. En la pestaña "Tipos de archivo" en el cuadro de lista "Tipos de archivos registrados", seleccione el elemento "Aplicación HTML".
4. Haga clic en el botón "Eliminar" y confirme la acción.
5. Cierre el cuadro de diálogo de opciones.


Enlace al original