lunes, 20 de diciembre de 1999

The_Fly, un gusano que se propaga vía mIRC, Pirch y Outlook

Este nuevo gusano, escrito en JavaScript, se difunde a través
de Internet en un archivo bajo formato CHM (Compiled HTML Help
File) con el nombre "The_Fly.chm". Para propagarse utiliza el
Outlook, enviándose adjunto por correo electrónico a todos los
alias de la libreta de direcciones, así como los clientes de
IRC mIRC y Pirch, en los que modifica sus respectivos archivos
.INI para autoenviarse vía DCC a los usuarios que entran en
el canal de charla donde se encuentra el usuario infectado.
"The_Fly" nos llega de la mano de "Zulu", conocido autor de
virus de origen argentino, quien ya fuera protagonista
recientemente por la creación de VBS.Bubbleboy, considerado
el primer gusano que infecta a través de correo electrónico
de forma automática, sin necesidad de abrir o ejecutar el
archivo adjunto. Otras creaciones destacables de "Zulu"
son "Freelinks", capaz de difundirse también por medio de
Outlook, mIRC y PIRCH, o "Monopoly", que saltara a la fama
por propagarse mientras mostraba en el sistema infectado
una imagen con la cara de Bill Gates incrustada en un
tablero del conocido juego de mesa que presta su nombre
al espécimen.

En esta ocasión, la novedad reside en la forma en la que se
nos presenta el gusano bajo la extensión CHM, distintivo
del nuevo formato de ayuda de Microsoft, que básicamente
consiste en compilar en un único archivo todos los elementos
que forman parte de un conjunto de páginas web. Este formato
es reconocido por el navegador de Microsoft a partir de
Internet Explorer 4.01 y, como estándar, en Windows 98 y NT.

El gusano, que no cuenta con efecto destructivo alguno, ha
sido reportado con la calificación de bajo riesgo en los
sistemas de alerta de las compañías antivirus Trend Micro
y Network Associates, basándose en la escasa o nula
incidencia con la que este espécimen ha sido reportado por
el momento. No obstante, y teniendo en cuenta las
características de propagación del gusano, no se descarta
que en breve se puedan producir infecciones de mayor
envergadura.

Una vez más, recordamos a nuestros lectores la premisa de
no abrir o ejecutar ningún archivo no solicitado que nos
llegue a través de Internet, aun viniendo de fuentes
conocidas.

Las características técnicas, y la forma en la que el
virus se despliega, no presenta grandes novedades con
respecto a otras creaciones del mismo autor. En estos
momentos tan solo se encuentra disponible una primera
descripción de la compañía Trend Micro, que no hace
distinción entre las dos versiones existentes del
espécimen, cuya única diferencia reside en la
codificación del fuente JavaScript en la versión 1.1.
Por su parte, Network Associates, ha incluido a "The_Fly"
en su lista de alertas, si bien aun no ha proporcionado
datos ya que se encuentran en estos momentos en la fase
de análisis.

Para conocer mejor la forma en que trabaja "The_Fly" os
emplazamos al próximo boletin, dentro de unas horas,
donde vamos a conocer a "The_Fly" desde dentro, a
través de un recorrido por su código.

Más información:
Trend Micro
Network Associates
HispaSec - Gusano VBS.Monopoly
HispaSec - "BubbleBoy" siembra el pánico por e-mail



Bernardo Quintero
bernardo@hispasec.com