Menú principal

domingo, 25 de noviembre de 2012

Malware para Mac OS X y OpenOffice: Gusano Bad Bunny

Continuando con nuestra serie dedicada a repasar el malware creado para tecnologías Apple, y centrándonos en virus encontrados en Mac OS X, no podemos olvidarnos de Bad Bunny, que fue descubierto en  el año 2007. ¿Qué lo hace digno de mención? Pues principalmente llamó la atención de que fuera uno de los pocos que no  hacía “discriminaciones” entre sistemas operativos y actuaba tanto en sistemas operativos Windows, como Linux o Mac OS X

Además, este malware tiene el dudoso privilegio de ser el primer virus - en este caso, gusano - que afectaba al programa de licencia libre OpenOffice. Una vez que el usuario abría un fichero de OpenOffice llamado badbunny.odg, se mostraba el siguiente mensaje:

Title: ///BadBunny\\\" Body: "Hey '[USERNAME]' you like my BadBunny?

Además, a la par, se ejecutaba una macro escrita en StarBasic contenida dentro del fichero y que causaba la infección. La forma de actuar de la macro era diferente en función del sistema operativo en la que se ejecutaba:
- En Windows creaba un fichero JavaScript, badbunny.js, que afectaba el comportamiento de mIRC y X-Chat, famosos clientes de chat IRC, causando que a través de ellos se compartiese de forma automática el fichero odg del virus con otros usuarios. 
- En Mac OS usaba para extenderse un script Ruby de entre dos posibles alternativas: badbunny.rb y badbunnya.rb. Al igual que antes, modificaba el comportamiento de MIRC y X-Chat para extenderse. 
- En Linux se creaban dos ficheros: Un script en Python de X-Chat llamado badbunny.py y un script en PERL, llamado badbunny.pl. El cometido de ambos es análogo al caso de Windows y Mac OS.
A parte, y como rasgo común en todos los sistemas operativos, este virus descargaba y mostraba al usuario una imagen de contenido adulto donde se podía ver a una persona disfrazada de conejo - de ahí el nombre de BadBunny -. Esta es la imagen sin censurar que se mostraba.

Figura 1: La imagen subida de tono de Badbunny

Como vemos, el modo de acción difiere en cada plataforma –diferentes scripts en distintos idiomas de programación - pero el fin es el mismo: infectar clientes de IRC para poder propagarse y mostrar la citada imagen al usuario.

Este malware se puede considerar como poco peligroso ya que la única acción del gusano, aparte de extenderse, era la de mostrar una imagen subida de tono. Además, y como nota curiosa que reafirma la intención no dañina de BadBunny, sus creadores lo mandaron directamente a una empresa dedicada a la seguridad informática, Sophos

Las palabras acerca del virus de Graham Cluley, consultor de seguridad de Sophos, fueron las siguientes cuando se toparon con él para analizarlo.
"The group responsible for writing the BadBunny malware don't seem to have much confidence in it spreading as they have sent it directly to our labs. The hackers have written plenty of StarBasic malware in the past, but the most 'in the wild' this one is likely to get is by displaying a picture of a furvert in the woods
Traducción:
“El grupo responsable de escribir el malware BadBunny no parecen tener mucha confianza en su propagación puesto que lo han enviado directamente a nuestros laboratorios. Los hackers han escrito un montón de malware StarBasic en el pasado, pero lo más "salvaje" sea probablemente la visualización de una imagen de un animalito pervertido en el bosque”
BadBunny fue catalogado más como una “prueba de concepto” – por ser multiplataforma y ser el primero en atacar OpenOffice - que como un virus con intenciones verdaderamente dañinas y alegaron que no tuvo difusión, ni se la vaticinaron en el futuro. Algo con lo que parece que acertaron.

2 comentarios:

Artículos relacionados

Otras historias relacionadas

Entradas populares