|
VBS/Nemite.B@mm, VBS/Moon.B@mm
Nemite.B es un gusano reportado el 14 de Enero del 2003 de propagación masiva vía mensajes de correo con un archivo anexado de nombre fotompg.vbs, que infecta con tan solo visualizar el mensaje ya que contiene codificación HTML que aprovecha una vulnerabilidad ActiveX exploit.
El archivo se auto-envía a la Libreta de Direcciones de MS Outlook e infecta a los usuarios de Chat.
Este VBS infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP
Al ejecutarse el gusano, se auto-copia al directorio %WinDir% con el nombre fotompg.vbs y para ejecutarse la próxima vez que se inicie el sistema genera la siguiente llave de registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = "C:\%WinDir%\fotompg.vbs"
El mensaje en formato HTML y no visualizable se conecta a una dirección IP desde la cual intenta descargar un ActiveX script que descargará y ejecutará el archivo pics.vbs en el directorio %WinDir% del sistema infectado.
%WinDir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.
El gusano sobre-escribe con su propio código, los archivos con extensión .vbs de todas las sub-carpetas y unidades de disco del sistema infectado, a excepción de los .vbs ubicados en las carpetas raíz.
Cambia la página de Inicio del Internet Explorer hacia un sitio web de contenido pornográfico, generando la siguiente lave de registro:
[HKLM\Software\Microsoft\Internet
Explorer\Main\Start Page]
"Start Page =
"http://xxx.com/index.htm"
Del mismo modo genera o modifica los
siguientes registros:
[HKEY_CURRENT_USER\Software\moon\explorerpf]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\3\1004]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Modem\0000\Settings\SpeakerMode_Dial]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Modem\0000\Settings\SpeakerMode_Off]
[HKEY_CURRENT_USER\RemoteAccess\DialUI]
El gusano se conectará al sitio web pornográfico desde el cual descargará el archivo XXX_adult.exe a través del archivo girls.exe ejecutado y descargado por el Control ActiveX contenido en esa página.
ActiveX desarrollada por Microsoft hizo su aparición con el navegador Internet Explorer 3.0 y es un conjunto de tecnologías que habilitan los contenidos interactivos de las páginas web. Con ellos se obtienen efectos especiales multimedia, objetos dinámicos y sofisticadas aplicaciones.
Su accionar es similar al de los Plug-Ins, que insertan objetos de diferente tipo desde una una página Web hacia los sistemas de las computadoras. Existen páginas en Internet que basan toda su presentación en Controles ActiveX para crear efectos realmente impactantes.
Cualquier autor de una página web puede ejecutar un programa malicioso con código ActiveX, que le permitirá descargar archivos, posiblemente infectados con virus, a un determinado directorio o carpeta del sistema que se conecte a esa dirección IP, si es que el usuario no tiene habilitada la opción "Pedir Datos" de la Secuencia de comandos ActiveX en la Configuración de Seguridad del Internet Explorer:
Para que Nemite.B infecte vía el IRC, verifica que el software mIRC esté instalado y de hallarlo sobre-escribe el archivo Script.ini que al ser ejecutado afectará a todos los usuarios conectados en una misma sesión de Chat.
Sus payloads son los siguientes:
PER ANTIVIRUS® versiones 7.8 y 7.9 con registro de virus al 14 de Enero del 2003 detectan y eliminan eficientemente este gusano Visual Basic Script.
