¿Cómo quitar el enlace a “wode.jpg” en MSN Messenger?
Recientemente hemos recibido consultas en los foros de soporte entre usuarios, referente a la propagación de un virus a traves del MSN Messenger, con la característica de que agrega a nuestras conversaciones un mensaje en Chino (suponemos) con un enlace como se muestra en la siguiente imagen.
Consultándo con el experto José Luis López ( Video Soft Computación y VSAntivirus ), nos comenta que este virus no utiliza la vulnerabilidad en los JPEG descrita en el boletín MS04-028 como supusimos en un primer momento (la confusión es porque el enlace es a una supuesta imagen JPG), sino que usa la vulnerabilidad relatada en el boletín MS04-013, el cual, a pesar de ser un acumulativo para el OE, el componente vulnerable no es exclusivo a este.
Esto es, que el enlace a WODE.JPG es realmente un html, conteniendo un IFRAME a la imagen de la chica japonesa y con un script embebido en el HTML que contiene el troyano propiamente dicho, que es el que se ejecuta.
Hasta donde sabemos, agrega en la rama del registro
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
Los siguientes valores:
"realone_nt2003"
"realone_nt2004"
Además instala los archivos "MONIKER.EXE", "SYSLRAY.EXE", "HKT1.DLL" dentro de la carpeta
X:\ Windows\System32\
(donde "X" es la unidad de instalación del OS).
También modifica la configuración de MSN Messenger para desplegar el mensaje y no aparecer en la ventana del usuario infectado.
Proceso de desinfección.
Aclaración: Al momento de escribir estas líneas, no existe información oficial de parte de las empresas antivirus ni un estudio a fondo sobre sus componentes, por lo que no debemos descartar el análisis en busca de malware como se ha sugerido en esta página
Hemos escrito un pequeño
script para eliminar esta molestia, siguiendo este procedimiento:
1- Cierra completamente tu MSN Messenger desde el icono correspondiente que esta
a un lado del reloj de Windows (click derecho > Cerrar), actualiza tu antivirus
y realiza un escaneo completo a tu equipo, eliminando los archivos que te
detecte como infectados.
2- Cierra o desactiva temporalmente el escaneo de tu antivirus. Como el script contiene instrucciones de eliminación de ramas del registro y archivos, pudiera ser bloqueada su ejecución.
3.- Ejecuta en script NoWode.VBS desde esta página
Aviso: se reseteará el MSN Messenger a los valores originales, por lo que se eliminará cualquier personalización al programa (Emoticonos, Imágenes para mostrar, configuración personal, etc.).
Aclaración: Ya que la administración de los contactos se realiza sobre el servidor de MSN, no implicará la pérdida ni cambio de status de contacto alguno.
4.- Reincia el sistema operativo y aplica las actualizaciones que tengas pendientes en Windows Update y Office Update
5.-
Obtén información actualizada sobre este y otros virus, así como a lo
relacionado a la seguridad informática consultando la página de
VSAntivirus
Desinfección Manual.
Los pasos de desinfección manual serían:
1- Cerrar completamente el MSN
Messenger en la barra de Sistema (Systray)
Click derecho sobre el icono correspondiente a MSN Messenger que esta a un lado
del reloj de Windows y elegir "Cerrar"
2- Ir al "Administrador de Tareas" de windows (CTRL+ALT+DEL) y finalizar los procesos:
MONIKER.EXE
SYSLRAY.EXE
HKT1.DLL
3- Eliminar las entradas del Registro de Windows:
INICIO > EJECUTAR: REGEDIT
Ir a la cadena HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
y eliminar los siguientes valores:
realone_nt2003
realone_nt2004
4- Con el Explorador de
Windows (Click sobre el icono Mi PC) ir a X:
\windows\system32\
donde "X" es la unidad del sistema
Eliminar los siguientes archivos de la carpeta
MONIKER.EXE
SYSLRAY.EXE
HKT1.DLL
5- Elimina las carpetas y registro de configuración de MSN Messenger:
a) Vaciar los temporales y cache
b) Eliminar la carpeta de
configuración de MSN Messenger del usuario de Windows infectado:
Inicio > Ejecutar: %appdata%\Microsoft
(enter) y borrar la carpeta "MSN Messenger"
c) Eliminar la configuración
de MSN Messenger en el registro de Windows
Entrar al Editor del Registro de Windows (Inicio > Ejecutar:
Regedit) y eliminar la
clave "HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger"
6.- Reiniciar y actualizar Windows en http://windowsupdate.microsoft.com/ también debes de actualizar MS Office en http://office.microsoft.com/officeupdate/
@lain Delveaux [ MVP ] / Hupus [ MX ]