Digital

VBS/BUBBLE BOY ABRE NUEVAS VIAS DE CONTAGIO

Por si todavía no lo han leido, cosa que dudamos debido a la rapidez y eficacia de la red para este tipo de avisos sobre un nuevo virus, reproducimos a continuación esta nota de prensa que amablemente nos envía el líder del software antivirus español, Panda:

Aunque no es peligroso, se trata del primer gusano de e-mail que se ejecuta
con tan sólo abrir el mensaje que lo contiene. Acaba de ser descubierto lo que puede ser el precursor de un nuevo tipo de gusano de internet: VBS/BubbleBoy, una amenaza que se reproduce mediante MS Outlook y MS Outlook Express y cuya principal característica es que se activa sin necesidad de ejecutar ningún fichero adjunto; sólo es necesario abrir el mensaje de correo por el que se reproduce para que el sistema se
infecte.

VBS/BubbleBoy, escrito en VB Script, utiliza para ejecutarse algunas
vulnerabilidades relacionadas con MS Outlook y MS Outlook Express, en
sistemas con Windows Scripting Host (Windows 98, Windows 2000 y sistemas
Windows 95 que lo hayan instalado) e Internet Explorer 5.

Aunque la capacidad de infección de VBS/BubbleBoy es alta -ya que se provoca
con tan sólo abrir un mensaje de correo y cuando se ejecuta se autoenvía a
toda la libreta de direcciones de Outlook-, no se ha informado de ninguna
incidencia provocada por este gusano hasta el momento, lo que le convierte
en un riesgo medio/bajo.

Al contrario de cómo suelen actuar los gusanos de Internet, VBS/BubbleBoy no
llega al ordenador de la víctima en un fichero adjunto, sino que se ejecuta
al abrir el mensaje infectado instalando el fichero Update.hta en el sistema
de manera que se ejecute en el siguiente arranque del mismo. Hace uso de
Explorer 5 y de Windows Scripting Host (instalado automáticamente con
Windows 98 y Windows 2000 y presente en aquellos sistemas con Windows 95 que
lo hayan instalado), para ejecutarse y proceder a la infección del sistema
con tan sólo abrir el mensaje que lo contiene. En el caso de Microsoft
Outlook Express, la infección del sistema se efectúa con sólo tener activada
la opción vista previa.

En el caso de que se tenga activado el nivel de seguridad de Internet
Explorer 5 como Alto (o High, en la versión inglesa), VBS/BubbleBoy no se
ejecuta. Esta vulnerabilidad de Internet Explorer 5 puede corregirse con un
parche que Microsoft tiene a disposición de los usuarios en su página web.

Técnicamente, BubbleBoy está escrito en VB Script -de ahí que se ejecute tan
pronto se abra el e-mail que lo contiene-, y una vez que se activa introduce
el script Update.hta en el Menú Inicio de Windows, de manera que se active
en el siguiente arranque del ordenador. Cuando Update.hta es ejecutado,
primero procede a modificar el nombre de usuario registrado de Outlook a
BubbleBoy (modificando el registro de Windows) y el nombre de la empresa
registrada a Vandelay Industries. Una vez efectuado estos cambios, el
gusano se autoenvía a todas las direcciones contenidas en todas y cada una
de las libretas de direcciones de Outlook, mediante el siguiente mensaje:

Asunto: BubbleBoy is back!

The BubbleBoy incident, pictures and sounds
http://www.towns.com/dorms/tom/bblboy.htm

El remitente que aparece en el mensaje es el nombre del usuario afectado.

Al mismo tiempo, BubbleBoy modifica el registro de Windows con la entrada

HKLMSoftwareOUTLOOK.BubbleBoy=OUTLOOK.BubbleBoy 1.0 by Zulu

De esta manera, la rutina del gusano no se ejecuta por segunda vez y, por lo
tanto, no se efectúa otro nuevo envío de mensajes infectados.

Para hacer frente a este gusano, es necesario efectuar una actualización del
fichero de firmas de virus de Panda Antivirus, mediante una Intelligent
Update. Por otra parte, desde Panda Software se recomienda actualizar
Internet Explorer 5 con los últimos parches publicados por Microsoft, a fin
de que los sistemas sean lo menos vulnerables posibles.

Para limpiar este gusano de los sistemas infectados es imprescindible borrar
del sistema el script Update.hta. Para ello, sólo es necesario buscar el
script en Windows (mediante un sencillo buscar ficheros o carpetas) y
proceder a eliminarlo una vez encontrado. Es necesario, además, borrar el
mensaje original que ha infectado el sistema.

Acerca del Líder Europeo en Soluciones Antivirus

Panda ofrece una gran variedad de soluciones dirigidas a las necesidades
específicas de todo tipo de usuarios, sean grandes compañías con complejas
redes como usuarios domésticos. Entre su amplia gama de productos destacan
Panda Antivirus 6.0 Platinum y Seguro Antivirus Global 24h-365d.

Panda disfruta de las certificaciones de calidad antivirus de la Asociación
Internacional de Seguridad Informática (ICSA.net) y Checkmark de West Coast.
Recientemente, Panda ha conseguido además las certificaciones de detección y
eliminación de virus Checkmark Level Two y Cleaning de ICSA.net, así como
Trojan Checkmark. Más información y copias de evaluación:
http://www.pandasoftware.es

Para más información:
Iñigo Núñez
[email protected]

Bárbara Madariaga
[email protected]

Mariana Piñeiro
[email protected]

Te recomendamos

#Highway2Sales

NH

Atresmedia

ADN by DAN

Compartir