h1

Chir.B

02/07/2011

Descripción breve

Chir.B es un gusano que llega en un mensaje de correo electrónico escrito en inglés. El gusano se activa automáticamente con tan sólo visualizar el mensaje a través de la Vista previa de Outlook, o bien al abrirlo.
Para ello, aprovecha una vulnerabilidad de Internet Explorer 5.01 y 5.5 (Exploit/Iframe) que permite la ejecución automática de los ficheros incluidos en los mensajes de correo.
Chir.B es además capaz de aprovechar una segunda vulnerabilidad, conocida como Exploit/MIME, que también provoca la ejecución automática de los ficheros adjuntos a mensajes de correo electrónico.
Chir.B infecta los ficheros que tengan las siguientes extensiones: EXE, SCR, HTM y HTML. Además, Chir.B tiene efectos destructivos, ya que el día 1 de cada mes sobrescribe los primeros 4660 Bytes de los ficheros que tengan alguna de las siguientes extensiones ADC, R.DB, DOC y XLS.
Métodos de propagación:
• Correo electrónico
• Red local

Alias:
•  Symantec: W32.Chir.B@mm
•  Mcafee: W32/Chir.b@MM virus
•  Kaspersky: Email-Worm.Win32.Runouce.b
•  F-Secure: Email-Worm.Win32.Runouce.b
•  Sophos: W32/Chir-B
•  Panda: W32/Chir.B
•  Grisoft: Win32/Chir.B@mm
•  Eset: Win32/Chir.B worm
•  Bitdefender: Win32.Parite.B

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos

Chir.B realiza las siguientes acciones:

Infecta ficheros con las siguientes extensiones: EXE, SCR, HTM y HTML.
El día 1 de cada mes sobrescribe los primeros 4660 Bytes de los ficheros que tengan alguna de las siguientes extensiones ADC, R.DB, DOC y XLS.

Metodo de Infección

Chir.B crea los siguientes ficheros:

RUNOUCE.EXE, en el directorio de sistema de Windows. Este fichero es una copia del gusano.
README.EML, en aquellos directorios en los que Chir.B encuentra e infecta ficheros con las extensiones HTM y/o HTML. Este fichero contiene el código del gusano en formato MIME.

Chir.B crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Runonce = %sysdir%\ runouce.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Chir.B consigue ejecutarse cada vez que inicie Windows.

Método de Propagación

Chir.B llega oculto en un mensaje de correo electrónico escrito en inglés, y se envía automáticamente a todos los contactos de la Libreta de direcciones y de otros ficheros del ordenador afectado.

Los mensajes enviados por el gusano presentan las siguientes características:

Remitente: uno de los siguientes:
%nombre del remitente%@yahoo.com
Imissyou@btamail.net.cn
Asunto:
%nombre del remitente% is coming!
Contenido: el mensaje se encuentra vacío.
Fichero adjunto:
PP.EXE

¿Cómo eliminar a Chir.B? 

Ante todo, si ha recibido un mensaje con algunas de las características descritas en el apartado Método de propagación, no ejecute el fichero adjunto y borre el mensaje, incluso de la carpeta de Elementos Eliminados.

Si el equipo infectado está conectado a una red de área local (LAN), desconéctelo inmediatamente y no lo vuelva a conectar hasta que todos los quipos se hayan comprobado y limpiado a fondo.

Finalmente, para restaurar la configuración original de su ordenador, siga estas instrucciones:

  • Borre la entrada que Chir.B ha creado en el Registro de Windows: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    Runonce = %sysdir%\ runouce.exe
    donde %sysdir% es el directorio de sistema.
  • Reinicie el ordenador.
  • Finalmente, para eliminar cualquier rastro de Chir.B, vuelva a realizar un análisis completo de su ordenador con Panda Antivirus o Panda ActiveScan.

Notas adicionales:

  • Para obtener instrucciones sobre la modificación del Registro de Windows, pulse aquí.
  • Una vez haya eliminado este malware siguiendo los pasos indicados, si su ordenador tiene Windows Millenium, pulse aquí para conocer cómo eliminarlo de la carpeta _Restore.
  • Una vez haya eliminado este malware siguiendo los pasos indicados, si su ordenador tiene Windows XP, pulse aquí para conocer cómo eliminarlo de la carpeta _Restore.

¿Cómo protegerse de Chir.B?

Para mantenerse protegido, tenga en cuenta los siguientes consejos:

  • Si su ordenador tiene instalado el navegador Internet Explorer versión 5.01 o superior, descargue el parche de seguridad desde la web de Microsoft. Pulse aquí para acceder a los boletines de seguridad de Microsoft.
  • Se aconseja la desactivación de la Vista previa de Outlook, como medida de prevención temporal. Esta opción está disponible en el menú Ver de Outlook.
  • Instale un buen antivirus en su ordenador.
  • Mantenga su antivirus actualizado. Si su antivirus admite las actualizaciones automáticas, configúrelas para que funcionen siempre así.
  • Tenga activada la protección permanente de su antivirus en todo momento.

Herramientas de eliminación:

rmchir.exehttp://free.avg.com/us-en/win32-chir

NPE.exehttp://security.symantec.com/nbrt/npe.aspx?lcid=1033

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: