La imaginación de los programadores de virus ha llegado a rescatar un clásico de Shakespeare, «Romeo y Julieta», para representar con el amor de éstos la dependencia total de los dos módulos que componen el «i-worm» que lleva el mismo nombre, un peligroso espécimen de «malware», descubierto recientemente en Polonia, que es capaz de activarse, al igual que «Bubbleboy», con sólo leer un e-mail portador.
El gusano viaja por medio de Internet dentro de dos ficheros, con los nombres de «MYJULIET.CHM» y «MYROMEO.EXE», que son anexados a e-mails que presentan una de las siguientes opciones (elegida aleatoriamente) como asunto:
Romeo&Juliet
:))))))
hello world
!!??!?!?
subject
ble bla, bee
I Love You 😉
sorry…
Hey you !
Matrix has you…
my picture
from shake-beer
Por medio del ya famoso agujero de seguridad «script.typelib» común a las versiones de Outlook, la versión comercial del cliente de correo de Microsoft, «Romeo y Julieta» consigue que «MYJULIET.CHM» sea autom ticamente ejecutado cada vez que uno de los destinatarios de los mensajes electr¢nicos por medio de los que el gusano se difunde se dispone a tan s¢lo leer el contenido del e-mail portador.
Una vez que esto sucede, el archivo CHM descomprime sus contenidos, y extrae un «script» necesario, programado en VBS (`Visual Basic Script¡), mediante el cual, aprovechando los privilegios concedidos por defecto por Windows para la ejecuci¢n de programas en modo local, corre el c¢digo del fichero «MYROMEO.EXE».
Programado en Delphi y comprimido con UPX hasta quedar en un tama_o aproximado a los 30 kilobytes de longitud, este segundo componente de «Romeo y Julieta» se limita a acceder a la libreta de direcciones del usuario infectado y, por medio de Microsoft Outlook, enviar una copia propia y de «MYJULIET.CHM» a cada una de las cuentas existentes en la lista de destinatarios posibles, seleccionando como asunto del mensaje una de las posibilidades anteriormente presentadas.
Afortunadamente, y debido a un error de programaci¢n, este gusano tiene dificultades para funcionar en algunas versiones de Windows, en funci¢n del lenguaje activado por defecto, que, en caso de ser ingl’s, asegura un comportamiento defectuoso por parte del «malware».
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=762
M s informaci¢n:
I-Worm.Blebla
http://www.avp.ch/avpve/worms/email/blebla.stm
BleBla
http://www.f-secure.com/v-descs/blebla.htm
W32.Blebla.Worm
http://www.symantec.com/avcenter/venc/data/w32.blebla.worm.html
W32/BleBla@MM
http://vil.nai.com/vil/dispVirus.asp?virus_k=98894
Worm/Verona.A
http://www.pandasoftware.es/enciclopedia/gusano/I-WormVeronaA_1.htm
W32/Verona
http://www.sophos.com/virusinfo/analyses/w32verona.html
TROJ_BLEBLA.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_BLEBLA.A
Giorgio Talvanti
talvanti@hispasec.com
http://www.hispasec.com
