Nuevo gusano para IIS de Microsoft:SCOB

Alias: JS.Scob.Trojan, JS/Scob
Alias: JS.Toofer, JS/Exploit-DialogArg.b, Download.Ject

Scob es un Troyano descargable, escrito en JavaScript. Ha sido encontrado en un número de sitios Web desde el pasado 24 de junio del 2004.

El Troyano ha sido encontrado añadido en archivos existentes en estos servidores Web, por ejemplo en fotos en formatos jpeg y archivos gif.
De acuerdo a los reportes, el script no ha sido añadido para modificar los archivos actuales en el servidor, pero usando la función de footer del Microsoft Internet Information Server.

Funcionamiento

Cuando es ejecutado, el Troyano intenta usar una liga invisible para conectarse a una página en un sitio web remoto. Al momento de escribir la página en el sitio web no esta disponible. Mientras la página no esta disponible ha habido reportes de que este virus descargable, ha sido utilizado para instalar variantes del Backdoor Padodor.

Más información acerca del Padodor está disponible en:

http://www.f-secure.com/v-descs/padodorw.shtml

El Troyano también deja una cookie en el sistema, causando que este trate de conectarse a un sitio remoto no más de una vez por semana.

Más información de esta caso también esta disponible por Microsoft:

http://www.microsoft.com/security/incient/dowload_ject.mspx

Además Microsoft ha lanzado un nuevo parche KB (871277) para detectar y recuperar el Download.Ject.

http:/support.Microsoft.com/?kbid=871277

Detección

F-Secure Antivirus detecta y previene este virus con la actualización publicada el pasado 25 de Junio del 2004.