|
|
| Nombre: | VBS/BubbleBoy Alias: 2 variantes A, B (Encriptada) |
| Tipo: | Gusano de E-mail |
| Tamaño: | N/Determinado |
| Origen: | Internet / Argentina |
| Destructivo: | NO |
| En la calle (in the wild): | NO |
| Eliminación | The Hacker 4.6 al 11/11/1999 |
Descripción
VBS/BubbleBoy en un gusano que se propaga por e-mail, trabaja con Microsoft OutLook que viene con Internet Explorer 5 (incluyendo OutLook Express), el gusano solo funciona si está instalado el Windows Scripting Host que viene con Windows 98 y Windows 2000 por defecto.
Caracteristicas del Mensaje de Email:
Asunto: BubbleBoy is back!
The BubbleBoy incident, pictures and sounds
*http://www.towns.com/dorms/tom/bblboy.htm
Si el usuario abre el mensaje el gusano será ejecutado en forma automática, el gusano NO trabaja con attachment sino que viene incluido como código Script en el cuerpo del mensaje y explota un agujero de seguridad en Internet Explorer 5.
Inmediatamente trata de crear el archivo "UPDATE.HTA" en el fólder de inicio de Windows para ejecutarse en forma automática la siguiente vez que se inicie Windows. El gusano trata de crear el archivo en 2 rutas fijas (folder de inicio de Windows en Inglés y Español)::
C:\WINDOWS\START MENU\PROGRAMS\STARTUP
C:\WINDOWS\MENÚ INICIO\PROGRAMAS\INICIO
Si Windows está instalado en otro directorio o se está trabajando en un idioma diferente el gusano no trabajará
Al siguiente inicio de Windows se ejecuta el archivo infectado UPDATE.HTA y empieza la propagación del gusano, se conecta en forma oculta al OutLook y procede a enviarse por e-mail a todos los destinatarios encontrados en la libreta de direcciones. Terminado este proceso el gusano marca su acción en el registro de Windows para no realizar el proceso una segunda vez.
Marca en el registro:
Variante: VBS/Bubbleboy.A
HKEY_LOCAL_MACHIN\Software\OUTLOOK.BubbleBoy\ = OUTLOOK.Bubbleboy 1.0 by Zulu
Variante: VBS/Bubbleboy.B
HKEY_LOCAL_MACHIN\Software\OUTLOOK.BubbleBoy\ = OUTLOOK.Bubbleboy 1.1 by Zulu
En este punto el gusano modifica algunas opciones del registro de Windows como,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner =Bubbleboy
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOrganization
= Vandelay Industries
VBS/BubbleBoy ha sido creado por Zulu, un escritor de Virus Argentino avocado a los virus de Visual Basic Script. Zulu es autor de VBS/FreeLink el primer virus de Scripts en llegar a estar en el wild (calle).
Importante:
A la fecha el gusano no es considerado en el Wild (calle) pero de seguro que estará por eso hay que tomar todas las precauciones del caso para evitar ser atacados.
Recomendaciones:
1) Es ABSOLUTAMENTE NECESARIO que instale el parche que Microsoft tiene para este agujero de seguridad, con esto Ud. estará libre de VBS/BubbleBoy y todos los virus / gusanos que empleen la misma modalidad de infección.
Parche específico:
http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP
Información acerca de agujeros de seguridad en general y parches:
http://www.microsoft.com/Security/Bulletins/ms99-032.asp
2) Si es necesario active el nivel de Seguridad de Internet Explorer a "Alta"
3) No abra ningún mensaje cuyo asunto indique "BubbleBoy is back!"
4) Si no se trabaja con archivos .HTA desactívelo vía el explorador de Windows:
- Abra el icono "Mi PC" en el escritorio de Windows
- Ir al menú "Ver", opción "Opciones (de carpeta)".
- Elegir el Tab "Tipos de archivo".
- En "Tipos de archivo registrados" buscar "HTML Application"
- Borrarlo vía "Quitar"
Derechos reservados 1992/2001 HackSoft S.R.L. Lima-Perú