W32/Rayl.A. Infecta desde un enlace en MSN Messenger

El falso JPEG es un HTML que utiliza la sentencia IFRAME para desplegar otro HTM (NEWS.HTM) y una verdadera imagen JPG (no infectada), que muestra a una chica japonesa (1.JPG)

El archivo NEWS.HTM contiene un código en Javascript que se ejecuta automáticamente, y libera el siguiente archivo:

test.chm

Valiéndose de una conocida vulnerabilidad (solucionada en un parche de abril de 2004 por Microsoft), este archivo ejecuta en la zona de seguridad local el archivo TEST.EXE (11,845 bytes).

Al ejecutarse TEST.EXE, se crean los siguientes archivos:

c:syshttp1.sys
c:syshttp2.sys

Ambos se ejecutan, y se copian como SYSLRAY.EXE y MONIKER.EXE en la carpeta del sistema:

c:windowssystem32moniker.exe (48,644 bytes)
c:windowssystem32syslray.exe (94,726 bytes)

NOTA: “c:windowssystem32” puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como “c:winntsystem32” en Windows NT y 2000 y “c:windowssystem” en Windows 9x y ME).

También se crean los siguientes archivos:

c:windowssystem32hktt.dll (33,280 bytes)
c:windowssystem32hkt1.dll (45,568 bytes)

Estos últimos son archivos legítimos, no infectados, pero usados maliciosamente por el gusano para sus funciones.

El gusano crea copias de estos archivos en la carpeta TEMP de Windows, con el nombre HKT?.DLL donde “?” puede ser un número.

NOTA: La carpeta TEMP está ubicada en “c:windows emp”, “c:winnt emp”, o “c:documents and settings[usuario]local settings emp”, de acuerdo al sistema operativo.

El gusano intenta finalizar la ejecución del cortafuegos ZoneAlarm, y los siguientes procesos si se encuentran activos:
eghost.exe
mailmon.exe
netbargp.exe
ravmon.exe

Se crean las siguientes entradas en el registro, para ejecutarse automáticamente en cada reinicio del sistema:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
realone_nt2004 = “C:WINDOWSsystem32syslray.exe”

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
realone_nt2003 = “C:WINDOWSsystem32moniker.exe”

Una vez ejecutado en memoria, el archivo principal (MONIKER.EXE), utiliza HKTT.DLL para interceptar las funciones del MSN Messenger, y propagarse en forma de un enlace a un archivo JPG como se mostró antes. Para ello, se agrega al nick del contacto cada vez que se envía un mensaje.

Para ejecutarse, el gusano se aprovecha de la vulnerabilidad descripta por Microsoft en su boletín MS04-013 (ver “MS04-013 Parche acumulativo para Outlook Express (837009)”, http://www.vsantivirus.com/vulms04-013.htm).

Dicha vulnerabilidad es causada por un error en el manejador MHTML, que permite procesar cualquier archivo, incluido texto, como si fuera un HTML. De este modo es posible incluir un script en el archivo, y ejecutarlo en la zona local (Mi PC), con menores restricciones de seguridad.

Reparación manual

El siguiente proceso de limpieza manual, ha sido sugerido en los foros de soporte de Microsoft para MSN Messenger:

1. Cerrar el MSN Messenger desde el icono correspondiente en la barra del sistema, al lado del reloj de Windows (botón derecho, Cerrar).

2. Ejecutar Administrador de tareas.

a. En Windows 95/98/Me pulse CTRL+ALT+SUPR (ver “Utilización de la herramienta “Process Explorer”)

b. En Windows NT/2K/XP pulse CTRL+SHIFT+ESC y seleccione la lengüeta “Procesos”

3. En la lista de programas (nombre de imagen) localice los siguientes procesos:

moniker.exe
syslray.exe
hkt?.dll

Donde “?” es un dígito (Ej: hkt1.dll)

4. Seleccione cada uno de esos nombres y haga clic en “Terminar proceso” o “Finalizar tarea”.

5. Para asegurarse de haberlos quitado, vuelva a ejecutar los pasos 2, 3 y 4 si fuera necesario.

6. Desde el Explorador de Windows, busque y borre los siguientes archivos (luego de ejecutarse, no todos estos archivos podrán estar presentes):

c:syshttp1.sys
c:syshttp2.sys
c:windowssystem32moniker.exe
c:windowssystem32syslray.exe
c:windowssystem32hktt.dll
c:windowssystem32hkt1.dll

7. Haga clic con el botón derecho sobre el icono de la “Papelera de reciclaje” en el escritorio, y seleccione “Vaciar la papelera de reciclaje”.

Nota: Se puede ejecutar también la herramienta Anti-WODE.zip del siguiente enlace:

http://www.infospyware.com/Software/Herramientas/Anti-WODE.zip

Utilización de la herramienta “Process Explorer”

Para completar exitosamente el proceso de eliminación, es necesario detener la ejecución del virus en memoria. Puede usarse el administrador de tareas de Windows como se indicó antes, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito “Process Explorer” (100 Kb), que puede ser descargada del siguiente enlace:

Sysinternals

Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE.

Para la finalización de los procesos indicados, localice y “mate” (Kill Process), cada proceso cuyo nombre se menciona en los pasos anteriores (ver “Eliminación de procesos del virus en memoria”), buscándolo bajo la columna “Process” de la ventana superior de la utilidad “Process Explorer”.

Borrar archivos temporales de Windows

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos “%” antes y después de “temp”.

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú “Edición”, la opción “Seleccionar todo”).

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. Haga clic con el botón derecho sobre el icono de la “Papelera de reciclaje” en el escritorio, y seleccione “Vaciar la papelera de reciclaje”.

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
Vsantivirus

Borrar archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet haga clic en “Eliminar archivos”

3. Marque la opción “Eliminar todo el contenido sin conexión”

4. Haga clic en Aceptar, etc.

Resetear configuración de MSN Messenger

Se recomienda resetear la configuración del MSN Messenger a sus valores por defecto. Esto elimina también cualquier personalización realizada (emoticones, preferencias, etc.). Para borrar la carpeta de configuración, proceda así:

1. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter):

%appdata%Microsoft

2. Borre la carpeta “MSN Messenger”

3. Haga clic con el botón derecho sobre el icono de la “Papelera de reciclaje” en el escritorio, y seleccione “Vaciar la papelera de reciclaje”.

Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo “+” hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

3. Haga clic en la carpeta “Run” y en el panel de la derecha, bajo la columna “Nombre”, busque y borre las siguientes entradas:

realone_nt2003
realone_nt2004

4. En el panel izquierdo del editor, haga clic en el signo “+” hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
MSNMessenger

5. Haga clic en la carpeta “MSNMessenger” y bórrela

6. Use “Registro”, “Salir” para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Información adicional

Instalar parche acumulativo de Outlook Express

Para protegerse de las vulnerabilidades que explota este gusano, instale el último parche acumulativo de Outlook Express:

MS04-018 Parche acumulativo para Outlook Express (823353)
vulms04-18.htm

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de “Oculto”, proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú Ver (Windows 95/98/NT) o el menú Herramientas (Windows Me/2000/XP), y pinche en Opciones u Opciones de carpetas.

3. Seleccione la lengüeta Ver.

4. DESMARQUE la opción “Ocultar extensiones para los tipos de archivos conocidos” o similar.

5. En Windows 95/NT, MARQUE la opción “Mostrar todos los archivos y carpetas ocultos” o similar.

En Windows 98, bajo Archivos ocultos, MARQUE Mostrar todos los archivos.

En Windows Me/2000/XP, en Archivos y carpetas ocultos, MARQUE Mostrar todos los archivos y carpetas ocultos y DESMARQUE Ocultar archivos protegidos del sistema operativo.

6. Pinche en Aplicar y en Aceptar.

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta “Restaurar sistema” como se indica en estos artículos:

Limpieza de virus en Windows XP
vsantivirus

Eliminar Virus de la foto Japonesa en MSN
forosdelweb

¿Cómo quitar el enlace a “wode.jpg” en MSN Messenger
Mensajeria instantanea

Fuente: Vsantivirus.com

Deja un comentario