miércoles, 8 de marzo de 2000

"Melting", el primer gusano "salvapantallas"

Acaba de aparecer hace tan solo unas horas un nuevo i-worm, capaz
de hacerse pasar por un curioso salvapantallas, que, realmente,
funciona como tal. Este agente infeccioso inutiliza asimismo el
sistema tras enviarse por correo electrónico, si bien estos daños
son de carácter temporal y pueden ser rápidamente reparados.
Se trata de un gusano de unos 18k de longitud, escrito en Visual
Basic, que utiliza rutinas parecidas a las empleadas por el virus
"Melissa" y similares. Este espécimen "viaja" a través de la Red
por medio de mensajes de correo electrónico cuyo asunto aparece
como "Fantastic Screensaver". El cuerpo de los e-mails es siempre
el mismo:

Hello my friend ! Attached is my newest and funniest Screensaver,
I named it MeltingScreen. Test it and tell me what you think.
Have a nice day my friend. p. s.: Please install the Runtime
Library for VBS 5.0, before you run the ScreenSaver.

El i-worm se presenta en forma de fichero adjunto, bajo el nombre
"MeltingScreen.exe", en clara alusión al peculiar efecto gráfico
mediante el cual se activa este improvisado salvapantallas: de un
modo relativamente similar a los virus de la familia "Cascade" de
DOS, este gusano "derrite" el contenido gráfico del escritorio.

De este modo, "Melting" consigue disuadir con mayor efectividad a
sus posibles víctimas, y aprovecha para unirse a la pequeña pero
ya significativa nómina de gusanos de Internet que ofrecen lo que
prometen ser -a pesar de llevar código maligno del que, como es
obvio, no advierten-, compuesta actualmente por los ya populares
"Happy99" y "Haiku", este último de factura más reciente.

Tras ejecutar "MeltingScreen.exe", este i-worm se dispondrá a
acceder a la libreta de direcciones de Microsoft Outlook, en
caso de que el usuario tenga instalada esta aplicación, que
aparece por defecto en todas las distribuciones de Windows. El
siguiente paso consiste en enviarse a las cuentas de correo que
el gusano haya sido capaz de encontrar y, tras esto, renombrar
todos los ficheros "EXE" del directorio de Windows a "BIN", lo
que causará un funcionamiento anómalo del sistema, unido al que
ya provoca de por sí la existencia de numerosos "bugs" o fallos
de programación en el código de "Melting".

A pesar de que la solución a este pequeño problema sea tan
sencilla como acceder manualmente al directorio de Windows y
renombrar todos los archivos "BIN" a "EXE", más de un usuario,
ajeno a lo que está sucediendo en su ordenador, podría llegar a
cometer el error de reinstalar su sistema o incluso formatear su
disco duro, acciones que deberían ser en todo caso descartadas
de raíz hasta no haber consultado la opinión de un profesional.

A pesar de que este i-worm no ha sido encontrado todavía "in
the wild", desde Hispasec alentamos a nuestors suscriptores a
que, como de costumbre, no duden en alertarnos acerca de
cualquier tipo de sospecha coincidente con los síntomas que
acabamos de exponer en relación con "Melting".

Más información
AVP-ES
AVPVE">< href="http://www.avp.ch/avpve/worms/melting.stm">AVPVE



Giorgio Talvanti
talvanti@hispasec.com



No hay comentarios:

Publicar un comentario en la entrada