La imaginación de los programadores de virus ha llegado a rescatar
un clásico de Shakespeare, «Romeo y Julieta», para representar con
el amor de éstos la dependencia total de los dos módulos que componen
el «i-worm» que lleva el mismo nombre, un peligroso espécimen de
«malware», descubierto recientemente en Polonia, que es capaz de
activarse, al igual que «Bubbleboy», con sólo leer un e-mail portador.
El gusano viaja por medio de Internet dentro de dos ficheros, con los
nombres de «MYJULIET.CHM» y «MYROMEO.EXE», que son anexados a e-mails
que presentan una de las siguientes opciones (elegida aleatoriamente)
como asunto:
Romeo&Juliet
:))))))
hello world
!!??!?!?
subject
ble bla, bee
I Love You 😉
sorry…
Hey you !
Matrix has you…
my picture
from shake-beer
Por medio del ya famoso agujero de seguridad «script.typelib» común
a las versiones de Outlook, la versión comercial del cliente de correo
de Microsoft, «Romeo y Julieta» consigue que «MYJULIET.CHM» sea
automáticamente ejecutado cada vez que uno de los destinatarios de
los mensajes electrónicos por medio de los que el gusano se difunde
se dispone a tan sólo leer el contenido del e-mail portador.
Una vez que esto sucede, el archivo CHM descomprime sus contenidos,
y extrae un «script» necesario, programado en VBS (`Visual Basic
Script´), mediante el cual, aprovechando los privilegios concedidos
por defecto por Windows para la ejecución de programas en modo local,
corre el código del fichero «MYROMEO.EXE».
Programado en Delphi y comprimido con UPX hasta quedar en un tamaño
aproximado a los 30 kilobytes de longitud, este segundo componente
de «Romeo y Julieta» se limita a acceder a la libreta de direcciones
del usuario infectado y, por medio de Microsoft Outlook, enviar una
copia propia y de «MYJULIET.CHM» a cada una de las cuentas existentes
en la lista de destinatarios posibles, seleccionando como asunto del
mensaje una de las posibilidades anteriormente presentadas.
Afortunadamente, y debido a un error de programación, este gusano
tiene dificultades para funcionar en algunas versiones de Windows,
en función del lenguaje activado por defecto, que, en caso de ser
inglés, asegura un comportamiento defectuoso por parte del «malware».
talvanti@hispasec.com
Más información:
I-Worm.Blebla
http://www.avp.ch/avpve/worms/email/blebla.stm
BleBla
http://www.f-secure.com/v-descs/blebla.htm
W32.Blebla.Worm
http://www.symantec.com/avcenter/venc/data/w32.blebla.worm.html
W32/BleBla@MM
http://vil.nai.com/vil/dispVirus.asp?virus_k=98894
Worm/Verona.A
http://www.pandasoftware.es/enciclopedia/gusano/I-WormVeronaA_1.htm
W32/Verona
http://www.sophos.com/virusinfo/analyses/w32verona.html
TROJ_BLEBLA.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_BLEBLA.A
Deja una respuesta