VBS.Haptime.A@mm

Chi è

Lo chiamano in diversi modi, di cui Haptime è il più breve e confidenziale, ma è sempre un VBS (Very Bastard inSide): VBS.HappyTime, VBS_Haptime.A, VBS/Help, VBS.Happytime.A, VBS/Haptime@MM, e i tempi sono felici solo per lui, che si moltiplica come un coniglio, o meglio, come un worm.

Da dove caspio arriva

Dalle mail in html, da quelle in testo normale con allegato html, il cui oggetto è Help e l'allegato si chiama Untitled.htm, oppure da pagine web infette.

Come si prende

Automaticamente aprendo la mail o il suo allegato, o semplicemente visitando la pagina infetta, se si ha una versione di IE/OE non aggiornata e senza le restrizioni sull'esecuzione degli script, e con l'anteprima attivata.

Cosa fa

In sintesi

Infetta i file .htm, .vbs, .htt, .asp, modifica le impostazioni di IE/OE e del registro, si autospedisce agli indirizzi che trova nella rubrica e nei file che riesce a colpire, e quando la somma di mese e giorno fa 13 (per esempio 4/9 - 3/10 ecc.) cancella file .exe e .dll.

In dettaglio

Sfrutta una falla di sicurezza di IE/OE per incorporarsi in coda al codice html contenuto in una pagina Web o in una mail con elementi decorativi, oppure si allega ad una mail con testo normale il cui oggetto è Help e l'allegato è un file che si chiama Untitled.htm.

Quando arriva non inizia immediatamente a diffondersi all'esterno, ma per prima cosa si prepara le basi e si propaga nel computer ospite, nascondendosi nei files Help.hta, Help.vbs, Help.htm o Untitled.htm.

Rimpiazza il default del desktop con un file html che contiene il suo codice attivato dal file Help.htm, utilizzando il nostro sfondo per mimetizzarsi ed andare automaticamente in esecuzione all'avvio di Windows, inoltre se sono attivi l'Active Desktop e la visualizzazione delle cartelle come pagine Web il worm si moltiplica ad ogni avvio o refresh del desktop o delle cartelle di Esplora Risorse.

In questo modo ad ogni movimento tra le cartelle il worm va in esecuzione, e vengono infettati inizialmente tutti i file .htt della cartella di Windows.

Ad ogni esecuzione, Haptime cerca i file con estensione .htt, .htm, .html, .asp e .vbs e ne infetta uno alla volta inserendosi al loro interno sotto forma di codice VBS (Visual Basic Script), quindi cerca al loro interno indirizzi email e si spedisce in questo modo:

Oggetto: Help
Testo: nessuno
Allegato: Untitled.htm (infetto)

Ogni file che infetta gli fa guadagnare una tacca sulla chiave Count e ne incrementa il valore, quindi ad ogni 366° file colpito e affondato, tenta, con pari probabilità, una delle seguenti azioni:

Quindi inizia il tentativo di replicarsi all'esterno forzando OE all'invio di mail in html, e sfrutta gli elementi decorativi (che non sono altro che file html) per diffondersi, così ogni nuova mail avrà a nostra insaputa un ghirigoro in più ben nascosto al suo interno; per i suoi scopi crea le seguenti chiavi nel registro di configurazione:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper=Windows\Help.htm

che sostituisce il suo confetto al nostro sfondo per lavorare con l'Active Desktop;

HKEY_CURRENT_USER\Software\Help\Count

che gli serve a tenere il conto delle sue malefatte;

HKEY_CURRENT_USER\Software\Help\FileName

che usa come promemoria;

HKEY_CURRENT_USER\Identities\<vostraidentità>\Software\Microsoft\Outlook Express\5.0\Mail

in cui obbliga OE a scrivere in html con il suo elemento poco decorativo ma molto efficace, creando i valori

Message Send Html 1
Compose Use Stationery 1
Stationery Name Windows\Untitled.htm

Se il programma di email o il server di posta che processa il messaggio non è settato o non è in grado di decodificare i messaggi html, questi messaggi saranno convertiti in allegati, ed aprendo l'allegato si otterrà lo stesso risultato (=infezione) di una mail con html incorporato.

Come si elimina

Un buon antivirus deve sempre fare la sua parte, che in questo caso è quella di individuare i file colpiti in modo da poterli eliminare, facendo una scansione completa del sistema con l'opzione di controllo di tutti i file.

Data la velocità e gli effetti quasi invisibili di questo worm, ci si può accorgere della sua presenza quando l'infezione è già molto estesa, ma spesso, per fortuna, la maggior parte delle migliaia di file rilevati come infetti si trova nella cartella dei file temporanei di Internet, quindi le azioni da svolgere sono sostanzialmente poche.

  1. Disattivare l'Active Desktop e la visualizzazione delle cartelle come pagine Web, se attivi

  2. Disattivare la cartella Restore se si possiede WinME e riavviare Windows con il Restore disattivato

  3. Scaricare ed installare la patch di sicurezza per le vecchie versioni di IE/OE, reperibili nel sito Microsoft, oppure ancora meglio installare da qualche cd l'intero aggiornamento di IE
    In caso di Windows 95, aggiornare IE/OE alla versione 5.5 e poi applicare le patches necessarie
    In caso di Windows 98 oppure ME, si può passare alla versione 6.0, e idem per le patches se necessario

  4. Eliminare tutti i file temporanei Internet, comprese le cartelle, con la funzione Trova -> File o cartelle
    oppure ancora più radicalmente riavviando in dos da C:\WINDOWS> con i seguenti comandi
    smartdrv
    deltree temp
    deltree tempor~1 (questo ~ lo si fa premendo il tasto Alt e scrivendo 126 dal tastierino numerico)

  5. Sempre con Trova -> File o cartelle
    cercare ed eliminare qualsiasi file si chiami Untitled.htm, Untitled.vbs, Help.hta, Help.vbs, Help.htm, ovunque si trovi
    idem per tutti i file *.htt contenuti nella cartella C:\WINDOWS\WEB
    Attenzione, che se avete altri programmi che abbiano installato un file help, potrebbe essere infetto o essere cancellato anche quello, per cui segnatevi sempre tutto quello che cancellate, per poterlo recuperare in seguito dai programmi originali se dovesse servire.
    Cancellando il contenuto Web di Windows, se ne andrà a quel paese anche la visualizzazione in modalità Web di tutte le cartelle, e dovrete riparare Internet Explorer per riaverla (scegliete... o vi tenete il virus.. o...)

  6. Dopo aver ripassato l'antivirus eliminare o isolare (in una cartella blindata o in quarantena) tutti i rimanenti file rilevati come infetti, in modo da poter individuare i propri e capire quali siano, e se siano importanti o meno, ed in caso di incertezza eliminare senza pietà.
    I file infetti non sono comunque recuperabili, a meno di intervenire all'interno del codice html in condizioni di sicurezza (operazione non alla portata del comune utente), e l'isolamento in una cartella a parte serve solo a capire cosa si deve buttare via, ma NON riaprite più quei file, che ritornate da capo.

  7. Cercare ed eliminare le chiavi di registro create da Haptime
    da Start -> Esegui -> Regedit con la funzione trova o sfogliando manualmente, facendo la massima attenzione a non modificare altro in quanto tutte le operazioni sul registro sono delicate e possono compromettere la precaria stabilità di Windows

  8. Ripristinare IE e le impostazioni preferite di OE dalle Opzioni, se necessario

  9. Ripristinare gli eventuali altri file cancellati, prendendoli dalle fonti originali