GUSANO

BLEBLA

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: Romeo-and-Juliet, Romeo, Juliet, Verona, IWorm_Blebla, I-Worm.Blebla
Fecha de aparición: 16 Noviembre 2000 en Polonia

BleBla es un gusano que se extiende a través de Internet. Aparece en un mensaje de correo con formato HTML y con dos archivos adjuntos: MyJuliet.CMH y MyRomeo.EXE.

Al abrir un mensaje infectado, se ejecuta la parte HTML. Esa parte contiene un programa script que es activado automáticamente por Windows. El programa script carga y activa el componente CHM del mensaje (el archivo MyJuliet.CHM). El componente CHM es una página HTML comprimida y es procesada como un archivo HTML de ayuda. Contiene uno o más scripts en él. Este script ejecuta el archivo MyRomeo.EXE, que es el archivo gusano BleBla principal.

Para evitar que los scripts ejecuten archivos adjuntos, existe un parche de Microsoft específico que se debería instalar:

http://www.microsoft.com/technet/security/bulletin/ms00-037.asp

Para conseguir sus componentes y poder salvarlos en el disco (para activarlos) el gusano utiliza trucos especiales que permiten acceder a los componentes del mensaje (incluidos los archivos adjuntos) por ID. El gusano describe sus archivos adjuntos en la cabecera del mensaje adjudicándoles IDs especiales, y accediendo a ellos a través de estos IDs.

Por tanto, el gusano se activa a sí mismo automáticamente cuando un mensaje infectado es abierto o previsualizado. Para activarse a sí mismo el gusano utiliza una vulnerabilidad en la seguridad del script de Windows. El componente CHM del gusano es capaz de ejecutar el programa EXE mediante un objeto script listado en "safe for script", por tanto no aparecen mensajes de advertencia cuando el gusano ejecuta sus componentes.

El principal componente del gusano (archivo MyRomeo.EXE) es un archivo PE ejecutable de Windows de aproximadamente 70 Kb de longitud. Este archivo está comprimido con la utilidad UPX. Cuando es desempaquetado aparenta ser un archivo ejecutable de 70 Kb escrito en Delphi; el código "puro" en el archivo ocupa sólo unas 6 Kb.

Cuando se ejecuta, abre la agenda de Windows, lee las direcciones de correo y manda su mensaje HTML con los archivos CHM y EXE atachados a estas direcciones. Para enviar mensajes infectados, el gusano conecta con uno de los seis SMTP servers locales en Polonia. El asunto del mensaje es seleccionado de forma aleatoria de la siguiente lista:

Romeo&Juliet
:))))))
hello world
!!??!?!?
subject
ble bla, bee
I Love You ;)
sorry...
Hey you !
Matrix has you...
my picture
from shake-beer

El gusano tiene un bug y no funciona correctamente en algunas ediciones inglesas de Windows 98/NT.

El gusano puede extenderse sólo en el caso de que Windows esté instalado en el directorio C:\WINDOWS.


Copyright © VIRUSPROT.COM