|
Martes 30 de mayo de 2000.
Nombre: I-Worm.FireBurn
Alias: I-Worm.FireBurn, VBS/Fireburn.A, VBS_FIREBURN.A
Tipo: Virus de VBS, IRC, gusano de e-mail
Tamaño: 4897b
Se trata de una variante más del I-LOVE-YOU o LoveLetter. Un archivo de VBS (Visual Basic Script), que se propaga a través de Internet vía e-mail por sus propios medios (como gusano), reenviándose a los contactos de la libreta de direcciones del Outlook de la víctima que abre el archivo adjunto recibido (cosa que obviamente deberíamos haber aprendido a esta altura de no hacer JAMAS si se trata de un adjunto que nosotros no pedimos, aunque sea un conocido quien lo envía).
Este virus puede enviar también sus copias a los canales de IRC usando el mIRC como cliente.
Cuando el archivo infectado del gusano se activa (al hacer doble clic con el mouse sobre el archivo vinculado, o sobre el que se acepta como un download del IRC), el virus se instala en el sistema copiando su código al directorio C:\Windows con el nombre de RUNDLL32.VBS, y modificando el registro para poder ejecutarse cada vez que Windows se reinicia. Las claves modificadas del registro son:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
MSrundll32 = rundll32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RegisteredOwner = FireburN
Como resultado de la primera de las modificaciones, el gusano se activa cada vez que Windows se reinicia.
Con la segunda modificación, su presencia queda registrada y si seleccionamos el icono Mi PC con el botón derecho, en Propiedades, aparece en "Registrado a nombre de:" el nombre "FireburN".
Para enviarse por correo, el gusano utiliza el Outlook, accede a su libreta de direcciones, y se envía a todas las que allí encuentre.
Dependiendo de la configuración del sistema el mensaje puede tener asuntos y cuerpos diferentes.
Si "ProgramFilesDir" es "Programme" (por defecto en las versiones alemanas de Windows), envía este mensaje:
Asunto:
Moin, alles klar?
Texto del mensaje:
Hi, wie geht's dir?
Guck dir mal das Photo im Anhang an, ist echt geil ;)
bye, bis dann..
Si no es "Programme" (por ejemplo en español sería "Archivos de programa"), entonces envía este mensaje:
Asunto:
Hi, how are you?
Texto del mensaje:
Hi, look at that nice Pic attached !
Watching it is a must ;)
cu later...
El archivo adjunto es seleccionado al azar de estas 8 variantes de supuestas imágenes pornográficas:
Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE!!!.JPG.vbs
CuteJany__BigTits!.GIF.vbs
MyGirlfriend__NUDE!.JPG.vbs
Aguiliera__NUDE!!.JPG.vbs
!Jany__Gets-fucked!.GIF.vbs
cute__EmmaPeel!!!.JPG.vbs
Julie17__xxx.GIF.vbs
Una copia del gusano, con el mismo nombre (seleccionado al azar), también se crea en el directorio de Windows. Esa será la copia que será vinculada a todos los mensajes infectados.
Infección a través del IRC
Para propagarse vía IRC, el gusano busca el programa de chat mIRC, en algún directorio llamado MIRC en la raíz de la unidad C: (C:\MIRC) o en la carpeta asignada a "ProgramFilesDir", por defecto "C:\Archivos de programa" en español (\Archivos de programa\MIRC) y si existe dentro de esa carpeta un archivo llamado MIRC.INI, entonces crea un archivo SCRIPT.INI.
Ese archivo contiene las instrucciones para enviar el archivo del propio worm a todos los que se conecten al mismo canal de IRC donde se conecta la máquina del usuario infectado, y para generar algunos mensajes de acuerdo a ciertas condiciones dadas.
Cuando una conexión a un servidor de IRC es realizada, se producen las siguientes acciones:
Se mueve temporalmente el archivo principal del virus RUNDLL32.VBS, de la carpeta Windows a Windows\System, con un nombre seleccionado al azar (de la lista que se muestra más arriba). Al desconectarse del canal de IRC, el archivo vuelve a ser copiado en Windows, con su nombre RUNDLL32.VBS.
Se envía el mensaje "Burn, Burn, Burn :)" a un canal #virus, si el mIRC se conecta a este.
Cuando alguien se une al canal actual, el archivo infectado es enviado al mismo (desde el directorio Windows\System).
Cuando alguien escribe la palabra "sex" en el canal, el archivo es enviado a dicha persona.
Cualquiera que escriba "virus", "worm" o "script" es ignorado.
Se generan además otras respuestas automáticas ante determinadas frases.
Si el texto contiene las palabras "die lamer", entonces se saldrá del mIRC luego de ser enviado el texto: "I'll commit suicide! R.I.P".
Si el texto contiene la palabra "fire", entonces se enviará el mensaje "Burn, Burn, Burn :)"
Si el texto contiene el nick del usuario, entonces se enviará el mensaje: "Smurf_Me".
Después de enviar el virus a través del mIRC, el script cargará la aplicación Outlook y creará un e-mail que es enviado a cada contacto de la libreta de direcciones del PC infectado, con una copia del virus adjunta.
En todos los casos, se crea un solo mensaje con todos los destinatarios en el campo CCO, o sea copia oculta. Además el email se borra de la carpeta "Elementos enviados", para que una víctima desprevenida no sospeche nada.
Este payload (rutina maliciosa) de enviarse a través del Outlook o del IRC, se activa cada vez que el PC se inicia, pero si la fecha es 20 de junio, entonces se genera esta otra acción:
Primero se muestra el siguiente mensaje:
FireburN
I'm proud to say that you are infected by FireburN !
Luego se deshabilita el teclado y el mouse, modificando las siguientes claves del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Shut_Up = "rundll32 mouse,disable"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Shut_Up2 = "rundll32 keyboard,disable"
El gusano contiene el siguiente texto:
VBS.FIREBURN.A -- mIRC/Outlook worm coded by fireburn
Polymorphic: Changing the actual filename on each start...
greets: to all members of 'UnCreativeLabs
Note que se utiliza el truco de la doble extensión. Los .VBS son ejecutables de Visual Basic Script (VBS). Al ser su extensión .JPG.VBS por ejemplo, la extensión .VBS quedará oculta y por lo tanto aparentará ser un archivo de imagen: .JPG, haciéndonos pensar tal vez en su inocencia.
Para que ello no ocurra, recomendamos DESMARCAR dicha opción, a los efectos de no caer en estas trampas, y poder ver siempre la verdadera extensión de un archivo.
Como hemos mencionado otras veces, este tipo de virus es incapaz de ejecutarse si
deshabilitamos las opciones de Windows Scripting Host de nuestro PC.
|
|