• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / "Romeo y Julieta", un gusano de dos piezas inseparables

"Romeo y Julieta", un gusano de dos piezas inseparables

25 noviembre, 2000 Por Hispasec Deja un comentario

La imaginación de los programadores de virus ha llegado a rescatar
un clásico de Shakespeare, «Romeo y Julieta», para representar con
el amor de éstos la dependencia total de los dos módulos que componen
el «i-worm» que lleva el mismo nombre, un peligroso espécimen de
«malware», descubierto recientemente en Polonia, que es capaz de
activarse, al igual que «Bubbleboy», con sólo leer un e-mail portador.

El gusano viaja por medio de Internet dentro de dos ficheros, con los
nombres de «MYJULIET.CHM» y «MYROMEO.EXE», que son anexados a e-mails
que presentan una de las siguientes opciones (elegida aleatoriamente)
como asunto:

Romeo&Juliet
:))))))
hello world
!!??!?!?
subject
ble bla, bee
I Love You 😉
sorry…
Hey you !
Matrix has you…
my picture
from shake-beer

Por medio del ya famoso agujero de seguridad «script.typelib» común
a las versiones de Outlook, la versión comercial del cliente de correo
de Microsoft, «Romeo y Julieta» consigue que «MYJULIET.CHM» sea
automáticamente ejecutado cada vez que uno de los destinatarios de
los mensajes electrónicos por medio de los que el gusano se difunde
se dispone a tan sólo leer el contenido del e-mail portador.

Una vez que esto sucede, el archivo CHM descomprime sus contenidos,
y extrae un «script» necesario, programado en VBS (`Visual Basic
Script´), mediante el cual, aprovechando los privilegios concedidos
por defecto por Windows para la ejecución de programas en modo local,
corre el código del fichero «MYROMEO.EXE».

Programado en Delphi y comprimido con UPX hasta quedar en un tamaño
aproximado a los 30 kilobytes de longitud, este segundo componente
de «Romeo y Julieta» se limita a acceder a la libreta de direcciones
del usuario infectado y, por medio de Microsoft Outlook, enviar una
copia propia y de «MYJULIET.CHM» a cada una de las cuentas existentes
en la lista de destinatarios posibles, seleccionando como asunto del
mensaje una de las posibilidades anteriormente presentadas.

Afortunadamente, y debido a un error de programación, este gusano
tiene dificultades para funcionar en algunas versiones de Windows,
en función del lenguaje activado por defecto, que, en caso de ser
inglés, asegura un comportamiento defectuoso por parte del «malware».

Giorgio Talvanti
talvanti@hispasec.com

Más información:

I-Worm.Blebla
http://www.avp.ch/avpve/worms/email/blebla.stm

BleBla
http://www.f-secure.com/v-descs/blebla.htm

W32.Blebla.Worm
http://www.symantec.com/avcenter/venc/data/w32.blebla.worm.html

W32/BleBla@MM
http://vil.nai.com/vil/dispVirus.asp?virus_k=98894

Worm/Verona.A
http://www.pandasoftware.es/enciclopedia/gusano/I-WormVeronaA_1.htm

W32/Verona
http://www.sophos.com/virusinfo/analyses/w32verona.html

TROJ_BLEBLA.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_BLEBLA.A

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Reacción ante ciberataques... en vacaciones
  • Chema Alonso entrevista a Richard Stallman - Parte II
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total
  • SAMBA puede poner en riesgo miles de instalaciones si no son actualizadas a tiempo.
  • Boletín de seguridad de Android
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec