Tal y como se explica en el boletín anterior, todos los documentos creados con alguno de los paquetes «Office» (Microsoft Word, Excel, PowerPoint) incluyen tanto un GUID como información histórica sobre todas las modificaciones realizadas sobre dicho fichero. Estos datos permiten inferir muchos datos de interés.
Esta información saltó a primera plana con el virus MELISSA. Dicho virus se distribuye como un documento Microsoft Word con macros, y la existencia de esta información fue decisiva a la hora de determinar la autoría y el «proceso creativo» que dió lugar al virus.
A continuación se incluye la traducción de un email enviado por «Richard M. Smith» al grupo de news «comp.risks», el 23 de Abril de 1.999. Al final de este boletín se incluye la URL al documento original.
>>>>>
Date: Fri, 23 Apr 1999 18:12:15 -0500
From: «Richard M. Smith»
Subject: Melissa, GUIDs, and VicodinES
He visto la discusión en comp.risks sobre el virus Melissa y los GUIDs, y quiero distribuir alguna de la informaci¢n que Rishi Khan (rishi@udel.com) y yo mismo (smiths@tiac.net) descubrimos a lo largo de la semana posterior a la difusi¢n del virus.
Sobre el tema del GUID, se ha podido comprobar que el documento Melissa tiene el mismo GUID que un documento Word con otro virus de macro, llamado «Shiver«. Shiver fue creado en Agosto de 1.998 por alguien que usaba el alias de «ALT-F11«. Dado que los dos GUIDs son el mismo,Rishi y yo hemos llegado a la conclusi¢n de que Melissa fue creado copiando el documento Shiver y reemplazando el c¢digo de dicho virus por el c¢digo de Melissa. Esto fue confirmado por el hecho de que la lista de p ginas web en los dos documentos es id’ntica, y que los «logs» de revisiones de ambos documentos son iguales excepto que en el documento Melissa aparece una entrada adicional.
Dado que la oltima modificaci¢n al documento Melissa fue s¢lo 30 minutos antes de que el virus fuera enviado al Web, parece que el virus fue desarrollado en otro documento, y que luego se combin¢ con la lista de p ginas web de Shiver en el oltimo minuto.
El GUID en el documento Melissa, muy probablemente, la direcci¢n Ethernet de la tarjeta de red del ordenador de ALT-F11, o de un ordenador al que ‘ste (o ‘sta) tuvo acceso en Agosto de 1.998.
¨Cu l es la conexi¢n entre David L. Smith, la persona acusada de haber distribuido el virus Melissa y VicodinES?. Por lo que parece hay muchas conexiones, porque tanto David Smith como VicodinES tienen bastante material en el web y han enviado numerosos mensajes a varios grupos de news.
Una de las conexiones m s interesantes se encontr¢ en la propia p gina web de VicodinES. Fredrik Bjork, de Suecia, me remiti¢ a dicha p gina unos d¡as despu’s de que el virus Melissa empezase a propagarse. Fredrik hab¡a notado muchas similitudes entre el estilo de VicodinES y el autor de Melissa. Pude descargar sobre diez documentos Word, de la p gina web de VicodinES, que conten¡an varios virus de macro. En dos o tres de dichos ficheros encontr’ el nombre de «David L. Smith» y sus iniciales DLS. En particular, s¢lo ese nombre aparece varias veces en el log de revisiones (por defecto, oculto) en uno de los virus de VicodinES.
A continuaci¢n se muestra el volcado hexadecimal de un fichero Word de Julio de 1.998:
12F0:FF FF 12 00 00 00 0D 00 44 00 61 00 76 00 69 00 ........|D.a.v.i.
1300:64 00 20 00 4C 00 20 00 53 00 6D 00 69 00 74 00 d. .L. .|S.m.i.t.
1310:68 00 23 00 43 00 3A 00 5C 00 57 00 49 00 4E 00 h.#.C.:.|.W.I.N.
1320:44 00 4F 00 57 00 53 00 5C 00 44 00 65 00 73 00 D.O.W.S.|.D.e.s.
1330:6B 00 74 00 6F 00 70 00 5C 00 43 00 6F 00 6E 00 k.t.o.p.|.C.o.n.
1340:76 00 65 00 72 00 74 00 20 00 42 00 65 00 74 00 v.e.r.t.| .B.e.t.
1350:61 00 2E 00 64 00 6F 00 63 00 0D 00 44 00 61 00 a...d.o.|c...D.a.
1360:76 00 69 00 64 00 20 00 4C 00 20 00 53 00 6D 00 v.i.d. .|L. .S.m.
1370:69 00 74 00 68 00 35 00 43 00 3A 00 5C 00 57 00 i.t.h.5.|C.:..W.
1380:49 00 4E 00 44 00 4F 00 57 00 53 00 5C 00 54 00 I.N.D.O.|W.S..T.
1390:45 00 4D 00 50 00 5C 00 41 00 75 00 74 00 6F 00 E.M.P..|A.u.t.o.
13A0:52 00 65 00 63 00 6F 00 76 00 65 00 72 00 79 00 R.e.c.o.|v.e.r.y.
13B0:20 00 73 00 61 00 76 00 65 00 20 00 6F 00 66 00 .s.a.v.|e. .o.f.
13C0:20 00 43 00 6F 00 6E 00 76 00 65 00 72 00 74 00 .C.o.n.|v.e.r.t.
13D0:20 00 42 00 65 00 74 00 61 00 2E 00 61 00 73 00 .B.e.t.|a...a.s.
13E0:64 00 0D 00 44 00 61 00 76 00 69 00 64 00 20 00 d...D.a.|v.i.d. .
13F0:4C 00 20 00 53 00 6D 00 69 00 74 00 68 00 35 00 L. .S.m.|i.t.h.5.
1400:43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 C.:..W.|I.N.D.O.
1410:57 00 53 00 5C 00 54 00 45 00 4D 00 50 00 5C 00 W.S..T.|E.M.P..
1420:41 00 75 00 74 00 6F 00 52 00 65 00 63 00 6F 00 A.u.t.o.|R.e.c.o.
1430:76 00 65 00 72 00 79 00 20 00 73 00 61 00 76 00 v.e.r.y.| .s.a.v.
1440:65 00 20 00 6F 00 66 00 20 00 43 00 6F 00 6E 00 e. .o.f.| .C.o.n.
1B90:00 1E 00 56 00 69 00 63 00 6F 00 64 00 69 00 6E ...V.i.c|.o.d.i.n
1BA0:00 45 00 53 00 20 00 56 00 42 00 41 00 20 00 53 .E.S. .V|.B.A. .S
1BB0:00 74 00 72 00 69 00 6E 00 67 00 20 00 43 00 6F .t.r.i.n|.g. .C.o
1BC0:00 6E 00 76 00 65 00 72 00 74 00 65 00 72 00 00 .n.v.e.r|.t.e.r..
1BD0:00 00 00 00 00 00 00 0D 00 44 00 61 00 76 00 69 ........|.D.a.v.i
1BE0:00 64 00 20 00 4C 00 20 00 53 00 6D 00 69 00 74 .d. .L. |.S.m.i.t
1BF0:00 68 00 00 00 00 00 00 00 00 00 00 00 00 00 00 .h......|........
El log de revisiones de un documento Word es algo que Microsoft llama «Metadada» y no puede visualizarse con el propio Word. Yo lo encontr’ utilizando una utilidad de volcado hexadecimal. Microsoft tiene un art¡culo que habla de los problemas de filtrar informaci¢n a trav’s del «Metadata» de un documento Word:
http://support.microsoft.com/support/kb/articles/Q223/7/90.asp
Parece que la mayor¡a de los escritores de virus que crean virus de macro para Word no han le¡do ese art¡culo de Microsoft :-). He visto los nombres de mucha m s gente en otras herramientas de construcci¢n de virus de macro que son distribuidas como documentos Word.
Richard M. Smith
M s Informaci¢n:
Risks Digest: http://catless.ncl.ac.uk/Risks/20.33.html