MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

7.9.07

SERIE RETRO: LO QUE DEJO LA HISTORIA (IV)
Cuando se creía que los virus informáticos sólo eran capaces de propagarse e infectar computadoras a través de archivos ejecutables del tipo .exe o .com, surge durante 1995 una nueva modalidad de infección mediante la cual los desarrolladores de virus podían infectar archivos que permitieron ejecutar cierto tipo de lenguaje de programación.

Esta característica dio origen a una nueva generación de virus informáticos clasificados como “Macro virus” que, a diferencia de los virus tradicionales que sólo infectaban archivos ejecutables, infectaban archivos de texto.

Las macros son secuencias de instrucciones (script) que pueden estar escritas en algún lenguaje de programación en particular y que, según el programa para el que se lo utilice, permiten automatizar determinadas tareas y configurar ciertos parámetros en los mismos.

El virus llamado “Melissa”, cuya propagación se inició durante en marzo de 1999 a través del correo electrónico, es un malware de macro que aprovecha la posibilidad de embeber porciones de código en archivos de la suite ofimática de Microsoft en sus versiones MS Office 97 y 2000 para infectar los documentos creados con MS Word.

Melissa fue desarrollado en lenguaje Microsoft Visual Basic por David L. Smith, un programador nativo del estado de New Jersey, Estados Unidos, quien al momento de su detención por este hecho manifestó que desarrolló el virus en su departamento y que lo llamó Melissa en memoria a una bailarina de topless que vivía en el estado de Florida.

Al ser ejecutado, y para cerciorarse que su código viral contagiara a todos los documentos de Word, este virus infecta la plantilla de documento llamada normal.dot, la cual
guarda los valores y macros predeterminadas del procesador de textos.

Cuando desde una computadora infectada se abre una versión diferente del documento infectado, Melissa recurre a la opción de conversión incorporada en la versión 2000 del paquete de oficina para lograr compatibilidad con el archivo a infectar. En este momento el código malicioso desactiva la protección contra virus que posee MS Office 2000.

Aprovechando rutinas de Visual Basic logra acceder a MS Outlook y se auto envía adjuntándose a las primeras cincuenta direcciones de e-mail que el usuario infectado tenga como contacto por todas las cuentas configuradas en su equipo, y así sucesivamente para continuar con la propagación. Es decir, envía 50 mensajes por cada cuenta configurada en el MS Outlook. Si el usuario posee dos cuentas, Melissa enviará 100 mensajes.

También, para asegurar que su código se enviará sólo una vez desde la máquina infectada, manipula el registro del sistema y verifica la siguiente clave:

HKEY_CURRENT_USER\Software\Microsoft\Office
Melissa? = ... by Kwyjibo

Si la clave ya existe en el registro del sistema no se auto enviará.

El Melissa se difunde a través de un e-mail con el asunto “Important message from...” conteniendo en el cuerpo el mensaje “Here is that document you asked for ... don't show anyone else ;-)”(En castellano: este documento fue solicitado por usted…no se lo muestre a nadie más).Esta técnica de Ingeniería Social aún es muy utilizada en la actualidad por muchos tipos de malware.

El archivo adjunto infectado por el Melissa puede ser cualquiera de los documentos MS Word que el usuario comprometido tenga en su computadora incluso el documento de Word que tenga abierto en el momento en que el virus ejecuta su módulo de reproducción.

Por otro lado, cada vez que en la computadora infectada existe una coincidencia entre el día del mes y los minutos marcados por el reloj del sistema, se activa una rutina mediante la cual el virus inserta en el documento abierto el siguiente texto:

Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here.

Esta frase hace referencia al juego Screbble y está sacada de uno de los capítulos de Los Simpsons.

Dentro del código fuente del virus se encuentran los siguientes comentarios:

WORD/Melissa written by Kwyjibo
Works in both Word 2000 and Word 97
Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You decide!
Word -> Email | Word 97 <--> Word 2000 ... it's a new age!

Si bien existen códigos maliciosos mucho más peligrosos que el Melissa, lo realmente llamativo de este virus fue la repercusión que tuvo en los medios de comunicación al propagarse e infectar en forma masiva gracias a la infraestructura que proporciona Internet dando lugar al inicio a una nueva modalidad de infección basada en lenguaje Visual Basic Script (VBS) denominados gusanos de Internet.

Otro código malicioso que aprovecha las características del lenguaje de programación VBS (Visual Basic Script) es el que se difundió seis meses después que el Melissa, bajo el nombre de BubbleBoy, pero que a diferencia de Melissa, fue el primer código malicioso capaz de ejecutarse e infectar sin la intervención del usuario, es decir, sin que el usuario lo ejecute.

BubbleBoy llega a través del correo electrónico sin contener archivos adjuntos, característica que era común durante el año de su aparición, en formato HTML y fue desarrollado de manera tal que infecta los sistemas con el sólo hecho de leer el e-mail e incluso con sólo acceder a la vista previa del mensaje.

Para lograrlo, este código viral aprovecha una vulnerabilidad que presentaba el formato MIME[1] (Multipurpose Internet Mail Extensions - Extensiones Multipropósito del Correo Internet) en las aplicaciones de correo MS Exchange, Outlook, Outllok Express e Internet Explorer. Sólo infecta computadoras que tengan Internet Explorer en su versión 5 y Windows Scripting Host (WSH) instalados.

El mensaje recibido posee el asunto “BubbleBoy is back! (BubbleBoy esta de regreso!)” y en el cuerpo del mismo se encuentra la siguiente leyenda:

The BubbleBoy incident, pictures and sounds
http://www.towns.com/dorms/tom/bblboy.htm

Cuando el BubbleBoy se activa, y con la finalidad de asegurar su ejecución en cada inicio de la computadora, crea en la carpeta Inicio del sistema (generalmente C:\WINDOWS\Menú Inicio\Programas\Inicio) el archivo UPDATE.HTA.

Luego de reiniciarse, el código malicioso realiza una serie de acciones en el registro de Windows que consisten básicamente en modificar las claves ubicadas en:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RegisteredOwner cambiándola por Bubbleboy

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RegisteredOrganization cambiándola por Vandelay Industries.

Otras características que comparte con el virus Melissa consisten en; su capacidad de auto enviarse a través del correo electrónico a todos los contactos de todas las libretas de direcciones que la máquina infectada tenga almacenadas en el Outlook; la manipulación del registro para crear una clave que le permita verificar si ya se envió para no volver a repetir el envío.

Tanto el Melissa como el Bubbleboy representaron nuevos métodos de infección y propagación conocidos no sólo por sus acciones víricas y maliciosas sino también por ser códigos innovadores dentro del mundo que constituyen lo que en la actualidad denominamos malware, logrando romper algunos viejos mitos implantados en la creencia de los usuarios.

Como de costumbre e incentivando al usuario a la actualización de su conocimiento a través de capacitación continua, ESET Latinoamérica ha desarrollado una Plataforma Educativa, gratuita y en línea, para todos los interesados en conocer cuestiones relacionadas con la seguridad de los sistemas.

Por otro lado, siempre es recomendable la utilización de una solución antivirus con propiedades proactivas como las ofrecidas por ESET NOD32, que nos mantengan seguros del alcance de estos y muchos otros tipos de amenazas.


Más información:
[1] Plataforma Educativa de ESET
http://edu.eset-la.com

[2] Cronología de los virus informáticos
http://www.eset-la.com/threat-center...s-informaticos

[3] Serie retro: “lo que nos dejó la historia” I
Serie retro: lo que dejó la historia (I)


[4] Serie retro: “lo que nos dejó la historia” II
Serie retro: lo que dejó la historia (II)

[5] Serie retro: “lo que nos dejó la historia” III
Serie retro: “Lo que dejó la historia” (III)


[1] MIME: especificaciones que permiten intercambiar a través de Internet todo tipo de archivos.

Fuente: http://www.psicofxp.com

0 comentarios: