ALERTA: «BubbleBoy» siembra el pánico por e-mail

cialis 20mg

olken.com/wp-content/uploads/2011/11/400_F_9953889_xVh5o7DkTqXdHSS4THsCTo1om3LmVaGI-150×150.jpg» alt=»» width=»150″ height=»150″ />Para muchos escritores de virus era un sueño. Para la mayoría de
las compañías antivirus, una utopía. Desde ayer mismo, para la
totalidad de los usuarios de Outlook, una pesadilla. «BubbleBoy»,
un i-worm escrito en VBS (Visual Basic Script) acaba de abrir la
caja de Pandora, al ser el primer virus compatible con e-mail
capaz de activarse sin que el usuario ejecute, abra, o incluso
guarde en su disco cualquier tipo de fichero adjunto recibido.
Basta con leer. Recibimos un e-mail, lo leemos, y mientras esto
sucede el i-worm ya ha comenzado a llevar su trabajo, una tarea
bifásica, a cabo. El funcionamiento de «BubbleBoy» se basa en
la compatibilidad con el formato HTML de la gama Outlook, de tal
forma que, mediante código VBS embebido en nuestro correo, así
como con la inestimable ayuda de un agujero de seguridad, este
i-worm consigue crear en el menú de inicio de los ordenadores
afectados un «dropper» incrustado en una página web, la cual se
activará en cada arranque del ordenador y procederá a difundir
nuevos e-mails con «BubbleBoy» a cada una de las entradas que
se encuentren en nuestra libreta de direcciones. Así de simple,
y, a la vez, así de complicado.

La pesadilla se ha convertido en realidad. Era un hecho cuya
predictibilidad crecía día a día, virus a virus. Y lo cierto
es que basta con examinar la fértil y pujante producción de su
autor para comprobar cuáles han sido los metódicos pasos de lo
que cierta eminencia literaria habría catalogado como «crónica
de una irrupción vírica anunciada». En HispaSec hemos hecho
horas extra para ofrecer a nuestros lectores, como siempre, lo
más destacado de la seguridad informática. Pero no nos hemos
conformado con quedarnos en lo meramente técnico. Esta vez el
esfuerzo está justificado en un trabajo que combina una parte
de documentación y otra de, inevitablemente, reconstrucción
histórica, con el fin de ofrecer lo que nadie había ofrecido
hasta ahora: una versión diacrónica de los hechos, analizando
los cómos y los porqués de la aparición de «BubbleBoy».
Hasta el día de hoy
——————-
La historia se remonta a aquel famoso bulo tipo «chain-letter»
que en los albores de Internet nos alertaba asegurando que, si
recibíamos un e-mail con «Good Times» como tema, estaríamos
expuestos a que un temible virus infectase nuestro ordenador y
borrase nuestros ficheros en caso de leer el contenido del
mensaje portador. Han pasado desde entonces unos cuantos años
y, lo que hace 24 horas era blanco, a partir de hoy será negro.
Atrás quedan esos cientos de miles de comentarios -por parte de
expertos y no tan expertos- en los que uno podía encontrar el
paradigma platónico de isostasia, representado por las justas
dosis de prepotencia, arrogancia, autosuficiencia, compasión e
incluso sarcasmo, que, siempre acompañados de la pertinente
palmadita en la espalda, nos convencían de la imposibilidad de
que un virus de las características de «Good Times» era, más
que inviable, ciencia ficción hollywoodiense.

Pero no adelantemos los acontecimientos. Tenemos que situarnos
en torno al inicio de 1999 para encontrar algún tipo de indicio
de actividad por parte de Zulu, un escritor y coleccionista de
virus argentino, responsable de «BubbleBoy». Ya en sus tímidos
comienzos el autor dejó entrever algunos detalles técnicos,
tales como la creación de un «dropper» vírico en el menú de
inicio de Windows. Tras coquetear con la encriptación de datos
en virus VBS como pionero y, hasta ahora, único desarrollador,
su primer aviso serio vino de la mano del virus «Freelinks»,
originalmente bautizado como «Cucu», capaz de difundirse por
medio de Outlook, mIRC y PIRCH a través de Internet, hechos que
lo llevaron a ser el primer virus escrito en VBS en expandirse
«in the wild».

No obstante, su salto definitivo a la fama vino de la mano del
gusano «Monopoly», que mostraba una imagen con la cara de Bill
Gates incrustada en un tablero del conocido juego de mesa que
presta su nombre a este agente infeccioso, mientras las copias
del gusano estaban siendo enviadas a cada uno de los usuarios
registrados en la libreta de direcciones del propietario de la
máquina afectada por «Monopoly».

Llegados a este punto es necesario efectuar un paréntesis, con
el fin de poner a nuestros lectores en antecedentes. Corría el
21 de agosto cuando un servidor tenía el honor de firmar una
noticia mediante la cual informábamos en nuestro servicio de
«una-al-día» acerca de una importante vulnerabilidad encontrada
por el búlgaro Georgi Guninski en la versión 5.0 del conocido
navegador Internet Explorer. El famoso caza-agujeros acababa de
descubrir la posibilidad de escribir código de manera remota
desde una página web ubicada en Internet, algo que, según nos
advertía el propio Guninski, también afectaba al e-mail. Zulu,
que según hemos deducido está suscrito a «una-al-día», no dudó
un instante y decidió aprovechar el tiempo para, en un período
relativamente corto de tiempo, sacar a la luz a «Chango», un
troyano escrito específicamente para explotar la vulnerabilidad
descubierta por Guninski y sobreescribir los ficheros LOGOS.SYS
y LOGOW.SYS de las máquinas afectadas de una manera similar a
la seguida por «BubbleBoy» para autoenviarse por e-mail.

Semanas después aparece un nuevo gusano, «VanHouten», escrito
por el mismo autor y causante de unas reacciones similares a
las provocadas por «Monopoly», al que se asemeja en una buena
cantidad de rutinas de funcionamiento interno. Como punto y
seguido, ayer tuvo lugar la puesta en blanco de «BubbleBoy»,
un i-worm (gusano capaz de expandirse por Internet) en el que
su autor combina, a grandes rasgos, las rutinas de autoenvío
empleadas en «Freelinks», «Monopoly» y «VanHouten», la creación
de un «dropper» vírico en el menú de inicio de Windows, como en
«Zulu», su primer espécimen, y, sobre todo, el aprovechamiento
del agujero descubierto por Guninski, del que tuvimos un justo
anticipo con el troyano «Chango». A esto habría que añadirle
el hecho de que hasta ahora se han distribuído dos versiones
de «BubbleBoy», 1.0 y 1.1, que se diferencian entre sí por la
inclusión de rutinas de encriptación, empleadas por Zulu como
ya es acostumbrado en él desde su virus «Lanus».
Hoy

En estos momentos nos encontramos ante un virus que, si bien
no se encuentra «in the wild», ha disparado los sistemas de
alarma de las compañías antivirus más importantes en menos de
24 horas. Es ahora cuando recordamos de qué modo el despliegue
mediático y la rápida intervención por parte de HispaSec de
cara a la concienciación preventiva, en colaboración con un
buen número de desarrolladores de antivirus, dejó reducido a
prácticamente cero el número de casos de infección producidos
a raíz del i-worm «Cholera» y del virus «CTX», hecho que nos
anima mantener la guardia bien alta también en el caso de esta
nueva amenaza vírica para la comunidad informática, y, así, a
cooperar en la medida de lo posible en esta clase de campañas
de prevención entre nuestros lectores.

«BubbleBoy» no presenta ninguna característica de especial
relevancia en el plano técnico salvo la rutina de «exploit»
del agujero de seguridad descubierto por Guninski, catalogado
por Microsoft como «scriptlet.typelib». Esta vulnerabilidad
tiene su origen en un control ActiveX destinado de manera
específica a la construcción de librerías para scriptlets, y
el código de ejemplo empleado por el búlgaro, adaptado por
Zulu y orientado a la propagación de su i-worm, tenía, allá
por agosto, el siguiente aspecto:

<object id=»scr» classid=»clsid:06290BD5-48AA-11D2-8432-006008C3FBFC»>
</object><script>
scr.Reset();
scr.Path=»C:\\Windows\\Start Menu\\Programs\\StartUp\\Guninski.hta»;
scr.Doc=»<object id=’wsh’ classid=’clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B’>
</object><script>
alert(‘Written by Georgi Guninski http://www.nat.bg/~joro’);
wsh.Run(‘c:\\command.com’);</»+»script>»;
scr.write();
</script></object>
De una manera similar empieza el código VBS de «BubbleBoy» que
podemos encontrar en los e-mails portadores. El siguiente paso
consiste en la creación del fichero «UPDATE.HTA» en el menú de
inicio de Windows de las versiones inglesa y/o española (este
i-worm, a diferencia de «VanHouten», no es compatible con la
versión portuguesa del sistema operativo). El código HTML que
el «BubbleBoy» inyecta en este fichero es ejecutado tras el
siguiente arranque, momento en el que, sin que el usuario lo
perciba, el i-worm procederá a alterar, por medio del registro
de configuraciones, el nombre de usuario registrado y el de su
compañía por «BubbleBoy» y «Vandelay Industries». A partir de
aquí, ejecutará una sesión de Outlook en «background» y, tras
procesar las entradas de la libreta de direcciones, comenzará
a enviarse por e-mail a cada uno de los usuarios incluídos en
dicha lista por medio del protocolo MAPI. Una vez concluído
este trabajo, el i-worm cierra su ciclo vital «firmando» en el
registro de configuraciones, de manera que no se volverá a
enviar por correo electrónico a más direcciones y su actividad
en el ordenador afectado habrá terminado, y mostrando un cuadro
de diálogo de error con el siguiente texto, que induce al
usuario a ser él mismo quien se deshaga del «dropper» vírico:
System error, delete «UPDATE.HTA» from the startup folder to
solve this problem.
El código de «BubbleBoy» está plagado de referencias en sus
etiquetas a nombres de personajes de la serie norteamericana
«Seinfeld», a la que, de hecho, debe su nombre. La explicación
se encuentra en la propia página a la que hace referencia el
i-worm en el texto de los e-mails por medio de los cuales se
envía (http://www.towns.com/dorms/tom/bblboy.htm). El lógico
aluvión de visitas a esta URL ha provocado una reacción por
parte de su propietario, que advierte al comienzo de la misma
a los visitantes por medio del siguiente texto:
It has come to my attention that some nefarious netizen has
been distributing a «bubbleboy virus»; while I relish the
attention this has brought my page I certainly had nothing to
do with this stupidity. People have enough problems with their
PCs (and Microsoft products) without me adding to them.
Como reacción paralela, la URL ha cambiado, desconocemos si
de manera temporal o definitiva, la cadena «tom» por «rick»,
con el fin de desviar la atención de quienes acudan a ella a
partir del link facilitado por «BubbleBoy».
Mañana
——
Las soluciones a este problema no se han hecho esperar. Pero
quizás antes de nada sería conveniente delimitar qué usuarios
están fuera de peligro, con el fin de evitar que haya quien,
innecesariamente, se tome las molestias de parchear su sistema
o se preocupe por una posible infección cuando en realidad se
encuentra fuera de todo peligro. Así, «BubbleBoy» no tendrá
validez en los ordenadores que:
a) No usen ningún producto de la gama Outlook de Microsoft.
b) No tengan activada la ejecución de comandos ActiveX.
c) Hayan desactivado el reconocimiento de ficheros «HTA».
d) No tengan su directorio del sistema en C:\WINDOWS.
e) Corran una versión de Windows que no sea inglesa o española.
f) No hagan un uso activo de la libreta de direcciones.
Asimismo, recordamos a nuestros lectores y suscriptores que el
i-worm no posee ningún tipo de rutina destructiva. De hecho,
lo peor que nos puede suceder si «BubbleBoy» infecta nuestro
ordenador es que éste se envíe por e-mail a nuestros amigos, o
a aquellas personas que tengamos en la libreta de direcciones,
empleando nuestro nombre. Las mejores medidas de prevención,
atendiendo parcialmente a las excepciones libres de virus que
acabamos de exponer, son las siguientes:
a) No abra (= lea) ningún mensaje que llegue al buzón de su
Outlook si el tema de éste es «BubbleBoy is back!», aún
si quien lo envía es un conocido o amigo suyo.

b) Instale el parche que Microsoft ha puesto a disposición de
todos los usuarios de Windows a partir de la URL:

http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP

c) Si no suele emplear aplicaciones HTML (ficheros HTA), es
posible desactivar su asociación con Internet Explorer:

c1) Doble click en «Mi PC».
c2) Menú «Ver» -> «Opciones (de carpeta)».
c3) Pestaña «Tipos de archivo».
c4) Lista «Tipos de archivo registrados».
c5) Seleccionar «HTML Application».
c6) «Quitar» -> «Aceptar» -> «Cerrar».

d) Traslade los datos contenidos en su libreta de direcciones a
cualquier otro soporte, de manera que «BubbleBoy» no podrá
enviarse a ningún usuario desde su ordenador, y así frenará
su expansión.

e) Si posee conocimientos suficientes como para desenvolverse
con el registro de configuraciones, cree una llave con el
siguiente nombre y valor:

HKLM\Software\OUTLOOK.BubbleBoy\=»OUTLOOK.BubbleBoy 1.0 by Zulu»

De este modo, «BubbleBoy», durante la comprobación que lleva
a cabo para no autoenviarse más de una vez desde una máquina,
pensará que ya ha actuado con anterioridad en su ordenador.
Por último, existen tres métodos infalibles para saber si está
infectado por el i-worm:

a) Despliegue el menú «Inicio» de su ordenador y compruebe, a
partir de los menús «Programas» e «Inicio», el contenido de
esta última carpeta. Si encuentra el fichero «UPDATE.HTA»
en su interior, bórrelo sin dilación alguna.

b) Si por alguna circunstancia usted ha ignorado o no se ha
apercibido de la presencia de la ventana que «BubbleBoy»
muestra tras haberse enviado por e-mail a otras máquinas
desde la suya, es posible comprobar algún indicio de una
pretérita actividad vírica buscando la siguiente llave en
el registro de configuraciones de Windows por medio de la
opción «Buscar» (menú «Edición» o Ctrl+B) del programa
«regedit.exe» que podrá encontrar en el directorio Windows
de su ordenador:

HKLM\Software\OUTLOOK.BubbleBoy\=»OUTLOOK.BubbleBoy 1.0 by Zulu»

c) Al hilo de la casuística del ejemplo anterior, es posible
comprobar el nombre de usuario y la compañía a la que está
registrada su copia de Windows por medio de la opción de
menú «Acerca de Windows» que encontrará, por ejemplo, en
el menú «Ayuda» del Explorador de Windows.
A partir de los consejos que acabamos de dar, si algún lector
detectase la presencia de «BubbleBoy» en su sistema, bastaría
con borrar el fichero «UPDATE.HTA» del menú de inicio, y, con
la ayuda del citado «regedit.exe», borrar la llave introducida
por el i-worm y restaurar los datos personales de registro de
la copia propia de Windows. En caso de indecisión, no dude ni
un solo instante en solicitar la ayuda de algún especialista o
en ponerse en contacto con cualquier miembro de HispaSec.

En cualquier caso, y según nos han comunicado varias compañías
antivirus, por el momento no se ha dado ningún caso particular
de infección ni parece que esta tendencia vaya a cambiar, ya
que el autor de «BubbleBoy» se ha limitado a publicar el
código de este i-worm por medio de su página web, como hizo
en anteriores ocasiones con la mayor parte de sus creaciones.
Lo que sí parece claro es que la aparición de este i-worm va
a suponer una revolución en la escena vírica, así como un
nuevo enfoque posible para los escritores del lado «VX», que
ven en esta nueva forma de expansión un auténtico filón para
innovar y distribuír sus virus con mayor efectividad. Por
otra parte, el hecho de que Zulu ofrezca en su página web el
código fuente de «BubbleBoy» supone el germen de lo que desde
HispaSec vaticinamos como una auténtica avalancha de «strains»
y demás mutaciones o variantes de este i-worm, que ha marcado
un pasado y un futuro, un ayer y un mañana, en el terreno de
la virología informática.

José Raúl Gil Ruiz
Comunidad InFoTeLe
Administrador y Webmaster

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *