ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.VBS.BubbleBoy

Clase Email-Worm
Plataforma VBS
Descripción

Detalles técnicos

Tipo: Gusano de correo electrónico
Plataforma: MS Windows con Internet Explorer 5.0, MS Outlook 98/2000 o MS Outlook Express

Este es un gusano de virus de Internet que se propaga a través de Internet como mensajes infectados de correo electrónico. El gusano llega como un mensaje sin datos adjuntos, y el gusano usa varios trucos para activar su código directamente desde el cuerpo del mensaje. Cuando se abre este mensaje, el código del gusano toma el control, obtiene acceso a los recursos del sistema (archivos de disco y registro del sistema), procesa la libreta de direcciones de Outlook y envía mensajes infectados a estas direcciones (de forma similar a Macro.Word97.Melissa virus lo hace).

Este es el primer gusano de Internet moderno conocido que distribuye sus copias sin datos adjuntos. Como es el caso con otros gusanos de Internet, un usuario debe abrir el archivo adjunto para activar las rutinas del gusano, que toman el control en el momento en que se abre el mensaje.

Los engaños

Para difundir sus copias, este gusano usa dos medios de engaño. El primero es la característica MS Outlook que permite la creación de mensajes en formato HTML. Los mensajes HTML pueden contener scripts que se ejecutarán automáticamente en el momento en que se muestre el mensaje HTML (el usuario abre el mensaje). El gusano usa esta característica para ejecutar su código cuando se abre el mensaje infectado.

Para extender sus copias aún más y evitar la seguridad de Internet Explorer, el gusano usa otro truco. En este momento, esto se denomina vulnerabilidad de seguridad "Scriptlet.Typelib".

Esta violación de seguridad permite que los scripts HTML creen archivos de disco. El gusano usa esta brecha para crear un archivo HTA (Aplicaciones HTML, apareció un nuevo tipo con IE5), que contiene el código principal del gusano. Este archivo se crea en la carpeta Inicio de Windows y, como resultado, se activa el próximo inicio de Windows. Al ejecutarse como un archivo de disco local, la secuencia de comandos del gusano en este HTML obtiene acceso a los archivos y recursos del disco sin ningún mensaje de advertencia de seguridad de Internet Explorer, se conecta a la libreta de direcciones de Outlook y se propaga a sí mismo.

Detalles técnicos

Cuando un usuario abre un mensaje infectado, el script de gusano incrustado en este cuerpo de mensaje se activa y ejecuta automáticamente por MS Outlook. Este script (mediante el incumplimiento de seguridad) crea el archivo "UPDATE.HTA" en el directorio "C: WINDOWSSTART MENUPROGRAMSSTARTUP". Este es el mismo archivo que el gusano intenta crear en el directorio "C: WINDOWSMENU INICIOPROGRAMASINICIO" (nombre predeterminado de España Windows).

Este archivo "UPDATE.HTA" contiene el código principal del gusano. Se ejecutará en el próximo inicio de Windows, debido a su ubicación en la carpeta Inicio. El gusano tiene un error menor aquí: asume que Windows siempre está instalado en el directorio C: WINDOWS. Si este no es el caso, el gusano no puede crear su archivo y no se puede replicar más.

Cuando se ejecuta el archivo UPDATE.HTA, el gusano ejecuta la aplicación de Outlook en una ventana oculta y crea un nuevo mensaje para todos los destinatarios de la libreta de direcciones de Outlook de la misma forma que el virus "Melissa". Este nuevo mensaje tiene el formato HTML y contiene el script del gusano en el cuerpo. El asunto del mensaje es "¡BubbleBoy atrás!", Y el cuerpo del texto aparece de la siguiente manera:

 El incidente, las imágenes y los sonidos de BubbleBoy
 http://www.towns.com/dorms/tom/bblboy.htm

Después de enviar este mensaje, el gusano crea lo siguiente en la clave de registro del sistema para evitar que se envíen mensajes duplicados:

 "HKEY_LOCAL_MACHINESoftwareOUTLOOK.BubbleBoy" = "OUTLOOK.BubbleBoy 1.0 por Zulu"

Al final, el gusano deja, en la pantalla, una ventana con el siguiente texto:

  Error del sistema, elimine "UPDATE.HTA" de la carpeta de inicio para solucionar este problema
  problema.

El gusano también cambia los datos de registro de Windows (esta rutina se ejecuta en el momento en que el script UPDATE.HTA toma el control):

  RegisteredOwner = "BubbleBoy"
  RegisteredOrganization = "Industrias Vandelay"

Proteccion

Microsoft ha lanzado una actualización que elimina la vulnerabilidad "Scriptlet.Typelib". Le recomendamos encarecidamente que visite http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP e instale esta actualización.

Si no utiliza ninguna aplicación HTML (archivos HTA), existe otra forma de prevenir la infección por virus de este tipo (los gusanos y virus que usan la vulnerabilidad de seguridad "Scriptlet.Typelib"). Es necesario eliminar la asociación de archivos para la extensión .HTA. Para hacer esto, debes seguir varios pasos:

  1. Haga doble clic en el ícono "Mi PC" en el escritorio.
  2. En la ventana abierta, elija el menú "Ver" -> "Opciones …".
  3. En la pestaña "Tipos de archivo" en el cuadro de lista "Tipos de archivos registrados", seleccione el ítem "HTML Applicaton".
  4. Haga clic en el botón "Eliminar" y confirme la acción.
  5. Cerrar cuadro de diálogo de opciones.

Enlace al original