«The_Fly» nos llega de la mano de «Zulu», conocido autor de virus de origen argentino, quien ya fuera protagonista recientemente por la creación de VBS.Bubbleboy, considerado el primer gusano que infecta a través de correo electrónico de forma automática, sin necesidad de abrir o ejecutar el archivo adjunto. Otras creaciones destacables de «Zulu» son «Freelinks», capaz de difundirse también por medio de Outlook, mIRC y PIRCH, o «Monopoly», que saltara a la fama por propagarse mientras mostraba en el sistema infectado una imagen con la cara de Bill Gates incrustada en un tablero del conocido juego de mesa que presta su nombre al espécimen.
En esta ocasión, la novedad reside en la forma en la que se nos presenta el gusano bajo la extensión CHM, distintivo del nuevo formato de ayuda de Microsoft, que básicamente consiste en compilar en un único archivo todos los elementos que forman parte de un conjunto de páginas web. Este formato es reconocido por el navegador de Microsoft a partir de Internet Explorer 4.01 y, como est ndar, en Windows 98 y NT.
El gusano, que no cuenta con efecto destructivo alguno, ha sido reportado con la calificaci¢n de bajo riesgo en los sistemas de alerta de las compa_¡as antivirus Trend Micro y Network Associates, bas ndose en la escasa o nula incidencia con la que este esp’cimen ha sido reportado por el momento. No obstante, y teniendo en cuenta las caracter¡sticas de propagaci¢n del gusano, no se descarta que en breve se puedan producir infecciones de mayor envergadura.
Una vez m s, recordamos a nuestros lectores la premisa de no abrir o ejecutar ningon archivo no solicitado que nos llegue a trav’s de Internet, aun viniendo de fuentes conocidas.
Las caracter¡sticas t’cnicas, y la forma en la que el virus se despliega, no presenta grandes novedades con respecto a otras creaciones del mismo autor. En estos momentos tan solo se encuentra disponible una primera descripci¢n de la compa_¡a Trend Micro, que no hace distinci¢n entre las dos versiones existentes del esp’cimen, cuya onica diferencia reside en la codificaci¢n del fuente JavaScript en la versi¢n 1.1. Por su parte, Network Associates, ha incluido a «The_Fly» en su lista de alertas, si bien aun no ha proporcionado datos ya que se encuentran en estos momentos en la fase de an lisis.
Para conocer mejor la forma en que trabaja «The_Fly» os emplazamos al pr¢ximo boletin, dentro de unas horas, donde vamos a conocer a «The_Fly» desde dentro, a trav’s de un recorrido por su c¢digo.
M s informaci¢n:
Trend Micro
http://www.antivirus.com/vinfo/security/sa121899.htm
Network Associates
http://www.nai.com
HispaSec – Gusano VBS.Monopoly
http://www.hispasec.com/unaaldia.asp?id=284
HispaSec – «BubbleBoy» siembra el p nico por e-mail
http://www.hispasec.com/unaaldia.asp?id=374
Bernardo Quintero
bernardo@hispasec.com
