miércoles, 23 de mayo de 2007

Badbunny, una prueba de concepto que aprovecha las macros de OpenOffice

Se ha enviado directamente a los laboratorios de Sophos, una muestra de un malware cuando menos peculiar. Se trata de una macro creada para OpenOffice que descarga y ejecuta scripts "personalizados" según el sistema operativo en la que se encuentre. El malware trata de descargar una imagen JPG que representa a un señor vestido de conejo realizando un acto sexual.
Lo curioso de este malware es que se distribuye a través de un documento OpenOffice Draw (badbunny.ODG) que, según el sistema operativo donde se ejecute, intenta infectar de diferentes formas. Si se ejecuta con OpenOffice desde Windows, intenta descargar un fichero llamado drop.bad y borra system.ini de la carpeta del programa mIRC. También descarga y ejecuta badbunny.js, un virus en JavaScript que se replica en el sistema

Si se ejecuta desde Linux, descarga badbunny.py (python) como script para XChat y badbunny.pl (Perl). Este es un pequeño virus que infecta a otros ficheros Perl.

Si se ejecuta desde MacOS, descarga badbunny.rb o badbunnya.rb, dos scripts creados en Ruby.

Los scripts de clientes de IRC se utilizan para redistribuir el virus a través del envío del fichero badbunny.odg vía DCC a otros usuarios.

Desde VirusTotal.com hemos tenido acceso a una muestra de esta prueba de
concepto enviada el día 22 de mayo. A fecha de 23 de mayo a las 13:00
hora española, es detectado como:

JS.Badbun.A (BitDefender), StarBasic/Bunbad.A (eTrust-Vet), IRC-Worm.StarOffice.Badbunny.a (F-Secure), IRC-Worm.StarOffice.Badbunny.a (Ikarus), StarOffice/Badbun.A (Kaspersky), StarOffice/Badbun.A (NOD32v2), SB/BadBunny-A (Sophos), SB.Badbunny (Symantec), Virus.JS.Prompt#1 (VBA32).

Este malware no representa un intento serio de infección. Sus creadores han enviado la muestra directamente a Sophos y su distribución resultará cuando menos discreta. Sus autores ya han escrito en el pasado malware de este tipo, pero esta muestra en concreto ha sido programada sin duda como prueba de concepto que demuestra la posibilidad de crear malware multiplaforma a través de OpenOffice, sin más pretensiones.

Los virus de macro que se ejecutaban a través de MSOffice pertenecen ya al pasado, si bien a finales de los 90 y principios de esta década representaban el método más popular de infección. Este malware no supondrá amenaza alguna, y es muy poco probable que futuros intentos en esta línea tengan éxito. En cualquier caso debería servir para que OpenOffice vigilara de cerca la ejecución indiscriminada de macros en su suite y no cometa los mismos errores que Microsoft en su día.


Sergio de los Santos
ssantos@hispasec.com


Más información:

BadBunny seen in "the wild"? OpenOffice multi-platform macro worm discovered
http://www.sophos.com/pressoffice/news/articles/2007/05/badbunny.html

No hay comentarios:

Publicar un comentario