Rizar el rizo
Texto: Javier Guerrero Díaz
Fuente: Revista PCMANIA (Enero 2000)
Conocido por los antivirus como VBS/BubbleBoy, se trata de un gusano programado en Visual Basic Script, que es capaz de instalarse en el PC simplemente abriendo el mensaje de correo que lo alberga. No se presenta en forma de fichero, sino que tiene su código incrustado en el cuerpo del e-mail. Únicamente afecta a los clientes de correo de Microsoft, "Outlook" y "Outlook Express", cuando el sistema tiene además instalado "Internet Explorer 5" y "Windows Scripting Host".
El gusano explota la vulnerabilidad de "Explorer 5" conocida como "Scriptlet.Typelib", que se basa en un control ActiveX para la construcción de librerías para Scriptlets. Este agujero de seguridad permite grabar y ejecutar un fichero de código script en la máquina en cuestión, y es lo que aprovecha BubbleBoy.
Una vez abierto el e-mail maligno, éste crea en el menú Inicio de Windows el fichero UPDATE.HTA, de manera que sea ejecutado durante el siguiente inicio de sesión. En ese momento el gusano cambia el nombre del usuario registrado a "BubbleBoy" y el nombre de empresa registrada a "Vandelay Industries", modificando dichas entradas en el Registro.
Es entonces cuando crea una sesión de "Outlook" en segundo plano y recorre el contenido de la libreta de direcciones del mismo, enviándose por e-mail a todas las direcciones encontradas. El e-mail tiene como remitente al usuario de la máquina infectada, y el asunto "BubbleBoy is back!". El gusano sólo efectúa esta operación una vez, ya que graba en el Registro su 'firma', cuya existencia comprobará siempre para no repetir el proceso. La entrada que inserta es la siguiente:
HKEY_LOCAL_MACHNE\Software\OUTLOOK.BubbleBoy\= OUTLOOK.BubbleBoy 1.0 by Zulu
Para terminar, y en un alarde de ironía, el mismo gusano muestra una ventana de error conteniendo el texto "System error, delete UPDATE.HTA from the Startup folder to solve this problem", para que sea el mismo usuario quien borre el fichero causante de la infección.
Cómo detectarlo y eliminarlo.
Por tanto, existen varias maneras de comprobar si hemos recibido la visita del intruso: localizar en el menú Inicio el fichero UPDATE.HTA, buscar en el Registro la entrada citada anteriormente, y comprobar si el nombre de usuario y empresa registrada ha variado. Del mismo modo, para deshacerse de este ingenio es necesario localizar y borrar el fichero anterior, así como eliminar el e-mail que provocó la entrada a nuestro sistema del BubbleBoy; dado que este paso puede resultar un poco más complicado, recomendamos el uso de algún antivirus capaz de detectarlo.
¿Cómo se podría evitar la infección? Existen varias formas de hacerlo, debido a las peculiares características de este gusano. Concretamente, el usuario estará a salvo si no utiliza ningún programa de correo "Outlook", o si no está activada la ejecución de comandos ActiveX, y en general si la configuración no coincide con la que el intruso necesita para funcionar ("Explorer 5", "Windows Scripting Host", etc.). |
