Virus SST Informacićn T©cnica

Informacićn t©cnica virus SST

Nombre comźn

SST, Anna, Kalamar

Alias

AnnaKournikova, Anna Kournikova, Calamar, I-Worm, Kalamar.A, Lee-O, Onthefly, VBS/Anna, VBS_Kalamar.A, VBS/SST.A, VBS/SST-A, VBS/VBSWG.J, VBS/VBSWG.Smm.Worm

Variantes:

 

Archivos asociados:

AnnaKournikova.jpg.vbs
AnnaKour.vbs

Fecha descubrimiento:

12 febrero 2001

Impacto:

Moderado a Alto. Puede provocar el agotamiento de los recursos de CPU/memoria/ancho de banda en los servidores de correo.

Actualizacićn
Informacićn:

13 febrero 2001 - 16:30

Programa vulnerable:

Microsoft Outlook
Microsoft Outlook Express

Descripcićn

SST, un virus inform”tico creado por un hacker argentino co apodo "Kalamar", env­a mensajes de correo electrćnico con la siguiente informacićn:

Tema del
mensaje:

Here you have, ;O)

Contenido del
mensaje:

Hi: Check This!

Nombre del archivo
asociado:

AnnaKourkinova.jpg,vbs
AnnaKour.vbs

Debido a la utilizacićn de una extensićn doble, .JPG.VBS, es posible que los usuarios no determinen que el archivo asociado sea un programa VBS. Por lo tanto, puede indicarse que el virus utiliza t©cnicas de ingenier­a social para hacer creer a los usuarios que el archivo asociado es una fotograf­a de la famosa tenista rusa Anna Kournikova.

En el momento de redactar esta informacićn, existen diversos informes de servidores de correo que han tenido problemas, debido a la sobreutilizacićn de sus recursos de memoria, CPU y ancho de banda como consecuencia de la actuacićn del virus.

S­ntomas

Presencia de un mensaje con el tema, contenido y archivo asociado indicado en la descripcićn. Presencia del archivo C:\WINDOWS\AnnaKournikova.jpg.vbs en el disco duro.

Debido a la posibilidad que el tema, contenido y nombre del archivo asociado al mensaje pueden cambiar una vez el virus haya sido ampliamente distribuido en la red, Selesta Seguridad recomienda tomar las siguientes medidas preventivas:

  1. No abrir archivos asociados con extensićn VBS.
  2. Guardar cualquier otro tipo de archivo asociado en una unidad de disco local y verificar este archivo con un programa antivirus. Asegurarse que el programa antivirus haya sido actualizado en las źltimas horas.
  3. Guardar cualquier archivo asociado a un mensaje sospechoso en un ”rea protegida durante unos d­as, hasta que la fiebre del virus SST haya disminuido. La mayor­a de fabricantes de programas antivirus facilitar”n, en las prćximas horas, actualizaciones de sus productos que reconozcan este virus (y cualquiera de sus variantes).
  4. Configurar los servidores para filtrar los mensajes que contengan el archivo asociado "AnnaKournikova.jpg.vbs", as­ como cualquier otro archivo .VBS
  5. Descargar e instalar las actualizaciones de seguridad de Outlook que previenen este tipo de malware.
  6. Desinstalar el Windows Scripting Host del sistema. šnicamente los programadores y aquellos que utilicen software complejo necesitan de este componente de Windows. Utilizar el panel de control de Aįadir/Eliminar programas para la desinstalacićn.
  7. Aplicar las pr”cticas de sentido comźn: no abrir archivos asociados sino conocemos que pueden contener.

Infeccićn

Una vez ejecutado el programa "AnnaKournikova.jpg.vbs", crea la siguiente entrada en el registro del ordenador:

    HKEY_CURRENT_USER\software\OnTheFly

SST utiliza esta clave del registro para determinar el status del env­o masivo de copias. Si no se ha realizado, SST intenta enviar una copia de ©l mismo a todas las entradas de la libreta de direcciones de Microsoft Outlook. A continuacićn, modifica la entrada en el registro a:

    HKEY_CURRENT_USER\software\OnTheFly\mailed

Si el d­a es el 26 de enero, el programa intenta conectar a la direccićn http://www.dynabyte.nl

Una vez ejecutado, SST continua cargado en memoria. Si lo borramos del disco, intenta volver a crearse, aunque esta operacićn no es satisfactoria debido a un bug en su cćdigo. El resultado es un archivo de 0 bytes.

Efectos

Modifica la clave del registro HKEY_CURRENT_USER\software\OnTheFly e intenta conectar, cada 26 de enero, a http://www.dynabyte.nl. Debido a su r”pida expansićn, SST puede provocar la interrupcićn del servicio de los servidores de correo debido a una sobrecarga en la utilizacićn de la CPU, memoria y/o ancho de banda.

Desinfeccićn

Utilizar una versićn actualizada del software antivirus. Existe un programa para desinfectar este virus, realizado por Central Command.

Para la desinfeccićn manual:

  • Borrar la clave del registro HKEY_CURRENT_USER\software\OnTheFly
  • Borrar todos los mensajes, archivos asociados y archivos almacenados en disco (como, por ejemplo c:\Windows\AnnaKournikova.jpg.vbs) asociados a este virus.

Aviso: A pesar que, en la medida de nuestro conocimiento, el contenido de este informe es exacto, SELESTA SEGURIDAD no puede garantizar la exactitud de cualquier porcićn (o la totalidad) de este p”gina web. Por tanto, cualquier accićn se efectźa siempre bajo la exclusiva responsabilidad del lector de esta p”gina web.

[P”gina Inicial] [Soluciones] [Socios] [Informes] [Ofertas de Empleo] [Contacto]
© Copyright 2000-2001, Selesta Seguridad. Email: info@selseg.com
Declaracićn de privacidad. - Aviso de responsabilidad.