Rizar el rizo
Texto: Javier Guerrero D�az
Fuente: Revista PCMANIA (Enero 2000)
Conocido por los antivirus como VBS/BubbleBoy, se trata de un gusano programado en Visual Basic Script, que es capaz de instalarse en el PC simplemente abriendo el mensaje de correo que lo alberga. No se presenta en forma de fichero, sino que tiene su c�digo incrustado en el cuerpo del e-mail. �nicamente afecta a los clientes de correo de Microsoft, "Outlook" y "Outlook Express", cuando el sistema tiene adem�s instalado "Internet Explorer 5" y "Windows Scripting Host".
El gusano explota la vulnerabilidad de "Explorer 5" conocida como "Scriptlet.Typelib", que se basa en un control ActiveX para la construcci�n de librer�as para Scriptlets. Este agujero de seguridad permite grabar y ejecutar un fichero de c�digo script en la m�quina en cuesti�n, y es lo que aprovecha BubbleBoy.
Una vez abierto el e-mail maligno, �ste crea en el men� Inicio de Windows el fichero UPDATE.HTA, de manera que sea ejecutado durante el siguiente inicio de sesi�n. En ese momento el gusano cambia el nombre del usuario registrado a "BubbleBoy" y el nombre de empresa registrada a "Vandelay Industries", modificando dichas entradas en el Registro.
Es entonces cuando crea una sesi�n de "Outlook" en segundo plano y recorre el contenido de la libreta de direcciones del mismo, envi�ndose por e-mail a todas las direcciones encontradas. El e-mail tiene como remitente al usuario de la m�quina infectada, y el asunto "BubbleBoy is back!". El gusano s�lo efect�a esta operaci�n una vez, ya que graba en el Registro su 'firma', cuya existencia comprobar� siempre para no repetir el proceso. La entrada que inserta es la siguiente:
HKEY_LOCAL_MACHNE\Software\OUTLOOK.BubbleBoy\= OUTLOOK.BubbleBoy 1.0 by Zulu
Para terminar, y en un alarde de iron�a, el mismo gusano muestra una ventana de error conteniendo el texto "System error, delete UPDATE.HTA from the Startup folder to solve this problem", para que sea el mismo usuario quien borre el fichero causante de la infecci�n.
C�mo detectarlo y eliminarlo.
Por tanto, existen varias maneras de comprobar si hemos recibido la visita del intruso: localizar en el men� Inicio el fichero UPDATE.HTA, buscar en el Registro la entrada citada anteriormente, y comprobar si el nombre de usuario y empresa registrada ha variado. Del mismo modo, para deshacerse de este ingenio es necesario localizar y borrar el fichero anterior, as� como eliminar el e-mail que provoc� la entrada a nuestro sistema del BubbleBoy; dado que este paso puede resultar un poco m�s complicado, recomendamos el uso de alg�n antivirus capaz de detectarlo.
�C�mo se podr�a evitar la infecci�n? Existen varias formas de hacerlo, debido a las peculiares caracter�sticas de este gusano. Concretamente, el usuario estar� a salvo si no utiliza ning�n programa de correo "Outlook", o si no est� activada la ejecuci�n de comandos ActiveX, y en general si la configuraci�n no coincide con la que el intruso necesita para funcionar ("Explorer 5", "Windows Scripting Host", etc.). |
