HOLAR.B, infecta vía correo, Web, redes compartidas, trunca archivos y satura servidores.  

© Jorge Machado  Lima-Perú

W32/Holar.B@MM, I.worm.Holar.B@mm 

HOLAR.B es un gusano, variante del Holar, reportado el 28 de Noviembre del 2002, de alta propagación masiva vía mensajes de correo, ya que infecta con tan solo visualizar el mensaje. Contiene un archivo anexado de extensión .SCR de nombre aleatorio, con 32 KB, extraído de la carpeta C:\Mis documentos del sistema infectado. El asunto es el mismo del archivo, pero sin la extensión. 

Es un PE (Portable Ejecutable) e infecta a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000

Este gusano aprovecha la vulnerabilidad del MIME exploit que ejecuta el archivo bajo la opción de vista previa del software de correo MS Outlook y Outlook Express. Infecta recursos compartidos de red, servidores web, trunca archivos y satura servidores de correo.

Su propagación masiva la realiza haciendo uso de la Libreta de Direcciones de MS Outlook, la Lista de Contactos de MSN Messenger y archivos HTM y HTML del sistema infectado. 

La peligrosidad de esta variante, radica en el hecho que el nombre del archivo es elegido de cualquiera de los contenidos en la carpeta C:\Mis documentos del sistema infectado, así como el asunto del mensaje tiene el mismo nombre del archivo extraído de la misma ubicación, pero sin ninguna extensión. Por lo general estos nombres pueden resultar atractivos para el usuario receptor.  

Cuando el archivo infectado se ejecuta, el gusano se auto-copia a la carpeta %System% y genera una llave en el registro para poder ser ejecutado la próxima vez que se inicie el sistema: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
ZaCker = "C:\%System%\Proforma de Creative Labs.scr"

El gusano se adhiere a los archivos con extensiones .HTM y .HTML que contienen un marco que los vinculará a la ruta C:\%System%\WarIII.eml (Electronic Mailer).

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Adicionalmente, el gusano genera dos llaves de registro, como verificadores de que las acciones de auto-envío se ejecutaron con éxito: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\HolyWar] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\HolyWar]

Este gusano aprovecha la vulnerabilidad de la Cabecera Incorrecta de MIME (Incorrect MIME Header) del navegador Internet Explorer (versiones 5.01 o 5.5, sin el Service Pack 2) que permite ejecutar un archivo anexado con apenas visualizarlo, sin necesidad de ejecutarlo. 

Para evitar este tipo de infecciones se debe deshabilitar la opción "Mostar panel de vista previa" en MS Outlook y Outlook Express del siguiente modo: 

Desmarque la opción Mostrar panel de vista previa, haga click en "Aplicar" y luego en "Aceptar". 

El parche para tanto el IFRAME exploit y el MIME exploit puede ser descargado de:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

Holar.B tiene tiene un payload destructivo, que consiste en sobre-escribir los archivos infectados con la palabra "Bye", dejándolos inutilizables. Asimismo infecta vía web, recursos compartidos de red, satura servidores, estaciones de trabajo y PC domésticas a causa de la diversidad de atractivos Asuntos y archivos anexados.

PER ANTIVIRUS® versiones 7.7 y 7.8 con registro de virus al 28 de Noviembre del 2002 detectan y eliminan eficientemente este gusano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS