Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio/Malware/"Romeo y Julieta", un gusano de dos piezas inseparables

"Romeo y Julieta", un gusano de dos piezas inseparables

Por Deja un comentario

La imaginación de los programadores de virus ha llegado a rescatar
un clásico de Shakespeare, “Romeo y Julieta”, para representar con
el amor de éstos la dependencia total de los dos módulos que componen
el “i-worm” que lleva el mismo nombre, un peligroso espécimen de
“malware”, descubierto recientemente en Polonia, que es capaz de
activarse, al igual que “Bubbleboy”, con sólo leer un e-mail portador.

El gusano viaja por medio de Internet dentro de dos ficheros, con los
nombres de “MYJULIET.CHM” y “MYROMEO.EXE”, que son anexados a e-mails
que presentan una de las siguientes opciones (elegida aleatoriamente)
como asunto:

Romeo&Juliet
:))))))
hello world
!!??!?!?
subject
ble bla, bee
I Love You 😉
sorry…
Hey you !
Matrix has you…
my picture
from shake-beer

Por medio del ya famoso agujero de seguridad “script.typelib” común
a las versiones de Outlook, la versión comercial del cliente de correo
de Microsoft, “Romeo y Julieta” consigue que “MYJULIET.CHM” sea
automáticamente ejecutado cada vez que uno de los destinatarios de
los mensajes electrónicos por medio de los que el gusano se difunde
se dispone a tan sólo leer el contenido del e-mail portador.

Una vez que esto sucede, el archivo CHM descomprime sus contenidos,
y extrae un “script” necesario, programado en VBS (`Visual Basic
Script´), mediante el cual, aprovechando los privilegios concedidos
por defecto por Windows para la ejecución de programas en modo local,
corre el código del fichero “MYROMEO.EXE”.

Programado en Delphi y comprimido con UPX hasta quedar en un tamaño
aproximado a los 30 kilobytes de longitud, este segundo componente
de “Romeo y Julieta” se limita a acceder a la libreta de direcciones
del usuario infectado y, por medio de Microsoft Outlook, enviar una
copia propia y de “MYJULIET.CHM” a cada una de las cuentas existentes
en la lista de destinatarios posibles, seleccionando como asunto del
mensaje una de las posibilidades anteriormente presentadas.

Afortunadamente, y debido a un error de programación, este gusano
tiene dificultades para funcionar en algunas versiones de Windows,
en función del lenguaje activado por defecto, que, en caso de ser
inglés, asegura un comportamiento defectuoso por parte del “malware”.

Giorgio Talvanti
talvanti@hispasec.com

Más información:

I-Worm.Blebla
http://www.avp.ch/avpve/worms/email/blebla.stm

BleBla
http://www.f-secure.com/v-descs/blebla.htm

W32.Blebla.Worm
http://www.symantec.com/avcenter/venc/data/w32.blebla.worm.html

W32/BleBla@MM
http://vil.nai.com/vil/dispVirus.asp?virus_k=98894

Worm/Verona.A
http://www.pandasoftware.es/enciclopedia/gusano/I-WormVeronaA_1.htm

W32/Verona
http://www.sophos.com/virusinfo/analyses/w32verona.html

TROJ_BLEBLA.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_BLEBLA.A

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.