| |
Jueves 10 de noviembre de 1999.
Nombre: BubbleBoy
Alias: VBS/BubbleBoy, VBS.BubbleBoy
Variantes: A, B.
Un mito destruido. Un virus que puede infectarnos sin abrir ningún archivo.
Como la pesadilla que hemos vaticinado en más de uno de nuestros comentarios, el nuevo virus "BubbleBoy", del tipo gusano, es capaz de infectarnos automáticamente, sin tener que pinchar sobre un enlace o abrir un mensaje. También le decimos como protegerse de él.
La mayoría de las empresas antivirus, coincide en que el virus aún no ha sido visto "in the wild" (en lo salvaje, o sea activo), sin embargo, no deja de preocupar su existencia.
Puede activarse automáticamente sin que el usuario necesite pinchar sobre un enlace o ejecutar un archivo. No contiene ninguna rutina dañina (a excepción de su posibilidad de propagarse a través del correo). Está escrito en Visual Basic Script (VBS), y requiere de Internet Explorer 5 con Windows Scripting Host instalado (Windows 98 y 2000 lo traen instalado por defecto), y el uso de Outlook u Outlook Express. Funciona en las versiones inglesas y española de Windows 95, 98 y 2000, y su tamaño es de 4992 o 5204 bytes.
El virus BubbleBoy no puede ejecutarse en Windows NT, y si la seguridad del IE5 es puesta en ALTA, tampoco podrá ejecutarse en Windows 98 o 2000.
El worm llega en un mensaje enviado involuntariamente por alguien que ha sido infectado pero que ignora que lo ha sido.
Características del mensaje
De: (nombre del usuario infectado)
Asunto: BubbleBoy is back!
En el cuerpo del mensaje incluye la frase:
The BubbleBoy incident, pictures and sounds
http://www.towns.com/dorms/tom/bblboy.htm
Esta dirección es falsa.
Si se recibe este mensaje en el Outlook Express, BubbleBoy puede activarse con solo visualizarlo a través de la opción "vista previa", activada en la configuración por defecto. En el Outlook en cambio, puede activarse automáticamente si abrimos el mensaje para leerlo.
Su acción inicial es crear un archivo llamado UPDATE.HTA. Este será el encargado al ejecutarse, de hacer que el propio virus se envíe a todas los contactos existentes en la libreta de direcciones del Outlook, sin que la persona infectada sepa que lo está haciendo, del mismo modo que otros virus como el "Melissa", etc.
Sin embargo, debido a algunas funciones limitadas en el Outlook Express, la posibilidad de enviarse a otros usuarios a través del correo, parece funcionar bien solo con la versión completa de Outlook. Incluso pueden producirse algunos problemas con versiones anteriores al Outlook 98.
Luego de enviarse a todos las direcciones encontradas en la libreta, el envío no vuelve a hacerse debido a que se crea en el registro una clave para evitarlo. Estos son los cambios en el registro:
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RegisteredOwner" = "Bubbleboy"
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RegisteredOrganization" = "Vandelay Industries"
Y una de estas dos variantes, de acuerdo a la versión del virus:
"HKEY_LOCAL_MACHIN\Software\OUTLOOK.BubbleBoy\" =
"OUTLOOK.Bubbleboy 1.0 by Zulu"
o
"HKEY_LOCAL_MACHIN\Software\OUTLOOK.BubbleBoy\" =
"OUTLOOK.Bubbleboy 1.1 by Zulu"
Existen dos variantes conocidas, con la única diferencia de tener una de ellas, el código de VBS encriptado, aunque otras variantes podrían aparecer en el futuro.
Como dijimos, aparenta tratarse de tan solo una "prueba de un nuevo concepto en virus". Ha sido su propio autor quien ha enviado su creación a varias compañías de antivirus con la clara intención de vanagloriarse de su creación, y como clara advertencia de lo que nos puede deparar el futuro.
Resumen de sus características
a) Solo infecta computadoras con Internet Explorer 5 y Windows Scripting Host instalados.
b) El directorio de Windows debe ser C:\WINDOWS.
c) Debe usarse Outlook Express u Outlook como lectores de correo.
d) El código solo funciona bajo Windows 95/98, en sus versiones en inglés o español.
e) No afecta a Windows NT ni a otros sistemas operativos.
f) Los usuarios de otros browsers o programas de correo, no son afectados.
Debido a que utiliza las posibilidades MAPI incluidas en el Outlook por defecto, otras aplicaciones como Lotus Notes, que usan sus propias rutinas de servidor email, son inmunes.
Algunas cosas que usted puede hacer si recibe el mensaje
Si llega a recibir un mensaje con el Asunto: "BubbleBoy is back!", no reinicie su PC sin antes hacer lo siguiente:
a) Borre el mensaje recibido. Asegúrese de borrarlo también de la carpeta "Elementos eliminados" (evitará algún antivirus lo detecte cuando ya no está activo).
b) En Inicio, Buscar, escriba *.HTA y al encontrar el archivo UPDATE.HTA (debería estar en C:\WINDOWS\Menú Inicio\Programas\Inicio por ejemplo), bórrelo. Bórrelo también de la Papelera de reciclaje.
Otras alternativas para protegerse
Hemos visto varias alternativas para poder protegernos de este virus. Las mencionamos a continuación, pero antes de aplicarlas, nuestra opinión es que tal vez la más ingeniosa y menos drástica, sea la tercera opción, aportada en el boletín 144 de KRIPTOPOLIS (http://www.kriptopolis.com), o la cuarta, de nuestra autoría, un poco más sofisticada pero que lo protegerá no solo de archivos de este tipo, sino de otras sorpresas en formato HTM que también podrán ejecutarse (hemos sido testigos de ciertos virus, no demasiados peligrosos, pero si molestos, que se inician al ejecutarse un HTML ubicado en el menú Inicio).
1) Si la seguridad del IE5 es puesta en ALTA, BubbleBoy no podrá ejecutarse. Para ello, vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Sin embargo esta opción puede ser muy drástica, y muchos sitios tal vez no funcionen correctamente cuando usted navegue, aunque sin dudas es la más segura.
2) Puede bajar el último parche de Microsoft para dos controles ActiveX que posibilitan la acción del virus. Busque la
actualización de "Scriptlet.typlib" y "Eyedog", (ya
está disponible en español) para Windows 95, Windows 98 y Windows NT 4.0 en:
http://www.microsoft.com/msdownload/iebuild/scriptlet/ES/136440.htm
3) Como la acción del virus ocurrirá cuando se ejecute el archivo UPDATE.HTA que será creado en la carpeta C:\Windows\Start Menu\Programs\Startup\ en la versión en inglés, o en C:\WINDOWS\Menú Inicio\Programas\Inicio en la versión en español, (esto pasará al reiniciarse Windows), puede quitar la asociación por defecto a los archivos HTA, los que normalmente están asociados al "Microsoft HTML Application host" (C:\WINDOWS\SYSTEM\MSHTA.EXE), que es el que abre y ejecuta este tipo de archivos. Para ello, puede ir a Inicio, Configuración, Opciones de carpetas, Tipos de archivo. Allí busque "HTML Application" y pinche en el botón "Quitar". Luego, solo confirme y salga. Tal vez nunca necesite la opción que acaba de quitar, si nunca antes la uso.
4) Puede eliminar cualquier archivo HTML o HTA que aparezca en el menú inicio (que normalmente no tendrían razón de estar allí), con un simple cambio en el archivo AUTOEXEC.BAT que se ejecuta al reiniciarse Windows 98. Desde Inicio, Ejecutar escriba SYSEDIT (y pulse ENTER). Ingrese la siguiente línea en la ventana del AUTOEXEC.BAT (debe quedar en UNA SOLA LINEA, aunque aquí aparezca cortada, y puede ser la última línea del archivo). Puede usar copiar y pegar para no cometer
errores:
if exist C:\WINDOWS\MENéIN~1\PROGRA~1\INICIO\*.h* del C:\WINDOWS\MENéIN~1\PROGRA~1\INICIO\*.h* >nul
Guarde los cambios y salga. Esto borrará cualquier posible aparición de archivos .HTA o .HTM del menú de Inicio de Windows, cada vez que Windows se reinicie.
Sin embargo, recuerde que la solución definitiva, pasa por mantener actualizados sus antivirus. La mayoría de los fabricantes ya ha creado sus actualizaciones para el "BubbleBoy". Puede encontrar estas actualizaciones y estar al día, en nuestro sitio http://www.nativo.com/videosoft. Se aconseja agregar a la búsqueda por defecto de archivos ejecutables de los antivirus que no lo tengan, la terminación: *.HT?
|
