Como características más relevantes, además de su poder de difusión, se encuentra el que la mayor parte del código VBScript viene codificado, lo que dificulta a simple vista su análisis directo. En Oxygen3 24h-365d vamos a realizar un recorrido por el virus, aunque no adjuntamos el código del mismo por razones de seguridad.
Cuando es ejecutado el gusano «MONOPOLY.VBS» crea el fichero gráfico «MONOPOLY.jpg» en una carpeta temporal. Comprueba si la versión de VBScript es superior a la 4 y en tal caso crea también los ficheros «MONOPOLY.WSH» y «MONOPOLY.VBE». El de extensión WSH es el encargado de ejecutar el VBE, que viene en VBScript codificado y contiene la mayor parte del código del gusano. Es entonces cuando muestra en pantalla el mensaje: «Bill Gates is guilty of monopoly. Here is the proof.» (Bill Gates es culpable de Monopoly [Monopolio]. Aquí está la prueba), a la vez que muestra el gráfico JPG que muestra la cara de Bill Gates en el popular juego de mesa Monopoly.
Al igual que otros virus, se autoenvía a las direcciones de la libreta de contactos, adjuntándose en un e-mail que construye con el asunto «Bill Gates joke» (Broma sobre Bill Gates) y como cuerpo del mensaje «Bill Gates is guilty of monopoly. Here is the proof. :-)».
Además, el gusano envía un e-mail con información sobre el sistema infectado a una serie de direcciones fijas. Las direcciones, todas con el mismo nombre de usuario, corresponden a servidores de correo gratuitos, y esta medida parece que fue tomada por el autor para recopilar información de los sistemas que el virus infecta.
Direcciones de correo a las que envía información sobre los sistemas:
Recopila, a través del registro de Windows, información sobre el sistema infectado:
* nombre del usuario registrado en Windows,
* fecha y hora,
* nombre del ordenador,
* organización,
* país,
* código postal,
* lenguaje,
* versión de Windows,
* número de serie,
* ficheros del ICQ,
* direcciones de la libreta de correo,
* página de inicio de Internet Explorer.
Por lo visto en el análisis, podemos concluir que se trata de un gusano de última generación que combina varias técnicas: VBScript, utilización de correo electrónico para su difusión y técnicas de troyano para fomentar su ejecución una vez que llega al ordenador víctima.
Panda ha incorporado a este nuevo gusano en su fichero de firmas de virus a fin de que los usuarios puedan protegerse contra esta amenaza, a la vez que recomienda realizar una actualización de Panda Antivirus para hacer efectiva dicha protección.
Además, como hemos comentado en anteriores ocasiones, es de vital importancia contar con la protección de un buen antivirus para hacer frente a estas amenazas, pero también lo es el no ejecutar programas de procedencia dudosa e incluso aquellos que viniendo de un remitente conocido no hayan sido solicitados. Por otra parte, Outlook.Monopoly, saca partido de la costumbre generalizada en algunos grupos y entornos de mandar mensajes con bromas en ficheros adjuntos. Dichos ficheros suelen haber pasado antes por un buen número de ordenadores, lo que los convierte en una potencial amenaza ya que pueden ser o (se les puede adjuntar) un virus, un troyano o un gusano. Detrás de un inocente fichero «de broma» de un amigo o amiga puede esconderse un gran problema para nuestro ordenador.
Para cualquier comentario sobre esta noticia, por favor contáctenos en:
mailto:oxygen365_staff@pandasoftware.com
Oxygen3 24h-365d es creado y distribuido diariamente por Panda Software.
