Email-Worm.VBS.BubbleBoy

Jest to pierwszy robak Internetowy posiadaj膮cy zdolno艣膰 do rozprzestrzeniania si臋 za pomoc膮 poczty elektronicznej bez do艂膮czania plik贸w. Oznacza to, 偶e robak potrafi wnikn膮膰 do systemu zaraz po tym jak zainfekowana wiadomo艣膰 zostanie przeczytana.

Wszystkie znane wcze艣niej robaki internetowe u偶ywa艂y wsp贸lnego mechanizmu rozprzestrzeniania, czyli do艂膮czania si臋 do przesy艂ek e-mail. BubbleBoy wnika do systemu zaraz po tym jak przeczytana zostanie zainfekowana przesy艂ka. Nast臋pnie robak rozsy艂a si臋 do wszystkich u偶ytkownik贸w z ksi膮偶ki adresowej programu MS Outlook, robi to jednak "po cichu", tak 偶e u偶ytkownik niczego nie zauwa偶a.

Oznaki infekcji

Infekcj臋 robaka BubbleBoy mo偶na wykry膰 bardzo 艂atwo, gdy偶 zaznacza swoj膮 obecno艣膰 tworz膮c wpisy do rejestru:

HKEY_LOCAL_MACHINSoftware
OUTLOOK.BubbleBoy = OUTLOOK.Bubbleboy 1.0 by Zulu

lub (w zale偶nosci od wersji)

HKEY_LOCAL_MACHINSoftware
OUTLOOK.BubbleBoy = OUTLOOK.Bubbleboy 1.1 by Zulu

jak r贸wnie偶

HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRegisteredOwner = Bubbleboy

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRegisteredOrganization = Vandelay Industries

Zapobieganie infekcji

W celu zapewnienia 100% ochrony przed atakami robaka BubbleBoy nale偶y zainstalowa膰 uaktualnienie Microsoftu usuwaj膮ce dziur臋 Scriptlet.Typelib. Patch mo偶e by膰 pobrany ze strony:

http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP

Je偶eli nie u偶ywasz 偶adnej aplikacji HTML (pliki HTA), mo偶esz zabezpieczy膰 sw贸j system w nast臋puj膮cy spos贸b:

  1. Kliknij dwukrotnie na ikon臋 "M贸j komputer".
  2. W oknie kt贸re si臋 pojawi wybierz "Widok" -> "Opcje".
  3. W oknie "Typy plik贸w" w regionie "Zarejestrowane typy plik贸w" wybierz "HTML Application".
  4. Wci艣nij przycisk "Usu艅" i potwierd藕 to.
  5. Zamknij okno opcji.

Szczeg贸艂y techniczne

Robak ten rozsy艂a si臋 przez Internet jako zainfekowana wiadomo艣膰 e-mail. Tym co odr贸偶nia go od poprzedniej generacji robak贸w internetowych jest fakt, 偶e wiadomo艣膰 nie posiada do艂膮czonego pliku. Wirus u偶ywa kilku sztuczek by aktywowa膰 si臋 bezpo艣rednio z cia艂a wiadomo艣ci. Gdy wiadomo艣膰 jest otwierana, robak przejmuje kontrol臋 nad systemem, uzyskuje dost臋p do jego zasob贸w (plik贸w i rejestr贸w systemu), otwiera ksi膮偶k臋 adresow膮 MS Outlook i wysy艂a swoje kopie pod wszystkie znajduj膮ce si臋 w niej adresy (podobnie jak s艂awna Meliss).

Instalacja

Gdy u偶ytkownik otwiera zainfekowan膮 wiadomo艣膰, skrypt robaka zawarty w wiadomo艣ci jest automatycznie aktywowany i uruchamiany przez MS Outlook. Skrypt ten (wykorzystuj膮c dziury w zabezpieczeniach) tworzy plik UPDATE.HTA w katalogu C:WINDOWSSTART MENUPROGRAMSSTARTUP (w wersji angielskiej) oraz pr贸buje utworzy膰 ten sam plik w katalogu C:WINDOWSMENU INICIOPROGRAMASINICIO (domy艣lna nazwa w hiszpa艅skich systemach Windows).

Rozprzestrzenianie

By si臋 rozprzestrzeni膰 robak wykorzystuje dwie sztuczki. Pierwsza z nich jest opcj膮 MS Outlook pozwalaj膮c膮 tworzy膰 wiadomo艣ci w formacie HTML. Takie wiadomo艣ci mog膮 zawiera膰 skrypty aktywowane podczas wy艣wietlania wiadomo艣ci.

By rozsy艂a膰 swoje kopie i obej艣膰 zabezpieczenia Internet Explorera robak u偶ywa innej sztuczki. W tej chwili s艂abo艣膰 ta jest znana jako Scriptlet.Typelib.

Ten wy艂om w zabezpieczeniach pozwala skryptom HTML tworzenie na dysku plik贸w. Robak wykorzystuje ten fakt by utworzy膰 plik HTA (HTML Application, nowy typ kt贸ry pojawi艂 si臋 wraz z IE5), kt贸ry zawiera g艂贸wny kod wirusa. Plik ten jest tworzony w katalogu startowym Windows co powoduje, 偶e jest on aktywowany podczas ka偶dego uruchomienia Windows. Poniewa偶 jest on uruchamiany jako plik lokalny, robak zawarty w kodzie HTML uzyskuje dost臋p do zasob贸w komputera i bez 偶adnych ostrze偶e艅 IE dostaje si臋 do ksi膮偶ki adresowej MS Outlook i rozsy艂a si臋 pod znajduj膮ce si臋 tam adresy.

Gdy plik UPDATE.HTA jest uruchamiany, robak uruchamia program Outlook i w ukrytym oknie tworzy wiadomo艣膰 do wszystkich adresat贸w. Nowa wiadomo艣膰 ma format HTML i zawiera kod robaka. Temat wiadomo艣ci to "BubbleBoy back!" a jej wygl膮d przedstawiony jest na obrazku poni偶ej:

Po wys艂aniu wiadomo艣ci, by zapobiec dublowaniu wys艂anych wiadomo艣ci, robak tworzy w klucz w rejestrze systemowym. Na ko艅cu robak wy艣wietla na ekranie okno z tekstem:

System error, delete UPDATE.HTA from the startup folder to solve this problem. 

Robak zmienia r贸wnie偶 dane o rejestracji Windows (dzieje si臋 to zaraz po aktywacji kodu)

RegisteredOwner = "BubbleBoy"
RegisteredOrganization = "Vandelay Industries"