Una nueva variante del famoso «ILoveYou» acaba de ser reportada «in-the-wild», al conseguir infectar a cientos de ordenadores en pocas horas, lo que ha llevado a las principales casas antivirus a situarlo en alerta media. Como característica a destacar, además del ya típico autoenvío a través del correo electrónico, este gusano descarga un troyano que roba información sensible de los usuarios que conecten con los servicios del banco suizo UBS.
«Loveletter.bd» llega en un mensaje con el asunto «resume» y el fichero adjunto «RESUME.TXT.VBS». Cuando se intenta abrir el fichero, que simula un archivo de texto, el gusano crea «RESUME.TXT» y muestra su contenido con el Bloc de Notas, para hacer creer al usuario que, efectivamente, se trataba de un simple texto:
«Knowledge Engineer, Zurich»
«Intelligente Agenten im Internet sammeln Informationen, erklaren Sachverhalte im» «Customer Service, navigieren im Web, beantworten Email Anfragen oder verkaufen» «Produkte. Unsere Mandantin entwickelt und vermarktet solche Software-Bots: State of the» «Art des modernen E-Commerce. Auftraggeber sind fuhrende Unternehmen, die besonderen» «Wert auf ein effizientes Customer Care Management legen. Das weltweit aktive,» «NASDAQ kotierte Unternehmen mit Sitz in Boston braucht zur Verstarkung seines» «explosiv wachsenden Teams in der Schweiz engagierte, hochmotivierte und kreative» [..]
Una vez ha mostrado este mensaje, el gusano se copia en el directorio de sistema de Windows (WindowsSystem). A continuaci¢n, se distribuye autoenvi ndose a todas los contactos de la libreta de direcciones de Outlook del sistema infectado, con la misma rutina que el gusano «LoveLetter» original, en un mensaje con el asunto y contenido ya comentados. Despu’s del env¡o, escribe una entrada en el registro de Windows, (HKEY_CURRENT_USERSoftwareACH0), que le sirve al gusano como marca para no repetir el lanzamiento de mensajes en ese sistema.
Lo m s destacado de este gusano es que intenta descargar un troyano en el caso de que el usuario cuente con el programa «UBS Pin», del banco suizo UBS, encargado de los servicios de banca electr¢nica y que maneja, entre otra informaci¢n, los nomeros de cuenta y contrase_as. Este programa se localiza a trav’s de la entrada en el registro (HKEY_CURRENT_USERSoftwareUBSUBSPINOptionsDatapath).
El componente troyano, «hcheck.exe», en un intento de pasar desapercibido, se descarga de alguno de los tres FTP poblicos que tiene registrados el gusano. Estos sitios corresponden a servidores universitarios y gubernamentales de Estados Unidos, donde existe gran tr fico, nomero de usuarios, y se permite tanto la carga y descarga indiscriminada de ficheros.
Cuando se ejecuta el troyano, se sitoa en memoria y recoge toda la informaci¢n del usuario infectado: nombre, empresa, software instalado, direcci¢n, datos de la red, nombre de usuario y contrase_as de acceso a Internet. Adem s, tambi’n puede interceptar el bofer del teclado, lo que le permite recoger cualquier dato que el usuario escriba, c¢mo por ejemplo cuando se autentifica ante un servicio en l¡nea.
La informaci¢n recolectada se env¡a al autor del virus v¡a correo electr¢nico en un mensaje con el asunto «contract» y sin destinatario aparente, pero con copia oculta a las direcciones: ct102356@excite.com, acch01@netscape.net y deroha@mailcity.com. Despu’s de esta acci¢n, el troyano ejecuta el fichero de proceso por lotes «cfile.bat», que borra cualquier evidencia de su existencia y lo hace desaparecer del sistema.
Las mayores incidencias de este virus se est n detectando en Rusia, norte de Europa, y de forma especial en Suiza, adem s de algunos casos destacables de infecciones corporativas, como ha ocurrido con dos bancos en Estados Unidos.
La r pida actuaci¢n de las casas antivirus, que ya detectan y eliminan al gusano, los consejos aun frescos de la Campa_a Nacional Antivirus para evitar ‘ste tipo de espec¡menes, y el hecho de que est’ dirigido a usuarios alemanes y suizos, hacen pensar en una baja incidencia en el mundo hispano.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=660
M s informaci¢n:
UBS AG
http://www.ubs.ch/
CNET
http://news.cnet.com/news/0-1005-200-2540566.html
National Infrastructure Protection Center Information System Alert
http://www.nipc.gov/warnings/alerts/2000/alert00-053.htm
MSNBC
http://www.msnbc.com/news/447320.asp
The Register
http://www.theregister.co.uk/content/1/12656.html
AVP
http://www.avp.ch/avpve/worms/email/lovebd.stm
CAI
http://www.cai.com/virusinfo/virusalert.htm#vbsresumea
NAi
http://vil.nai.com/villib/dispvirus.asp?virus_k=98789
Panda Software
http://www.pandasoftware.es/enciclopedia/gusano/VBSLoveLetterBD_1.htm
Proland Software
http://www.protectorplus.com/virus_info/worms/loveletterbd.htm
Sophos
http://www.sophos.com/virusinfo/analyses/vbsloveletbd.html
Symantec
http://www.sarc.com/avcenter/venc/data/vbs.loveletter.bd.html
Trend Micro
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=VBS_LOVELETTR.BD&VSect=T
Bernardo Quintero
bernardo@hispasec.com
