-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ------------------------------------------------------------------- Hispasec - una-al-día 23/05/2007 Todos los días una noticia de seguridad www.hispasec.com ------------------------------------------------------------------- Badbunny, una prueba de concepto que aprovecha las macros de OpenOffice ----------------------------------------------------------------------- Se ha enviado directamente a los laboratorios de Sophos, una muestra de un malware cuando menos peculiar. Se trata de una macro creada para OpenOffice que descarga y ejecuta scripts "personalizados" según el sistema operativo en la que se encuentre. El malware trata de descargar una imagen JPG que representa a un señor vestido de conejo realizando un acto sexual. Lo curioso de este malware es que se distribuye a través de un documento OpenOffice Draw (badbunny.ODG) que, según el sistema operativo donde se ejecute, intenta infectar de diferentes formas. Si se ejecuta con OpenOffice desde Windows, intenta descargar un fichero llamado drop.bad y borra system.ini de la carpeta del programa mIRC. También descarga y ejecuta badbunny.js, un virus en JavaScript que se replica en el sistema Si se ejecuta desde Linux, descarga badbunny.py (python) como script para XChat y badbunny.pl (Perl). Este es un pequeño virus que infecta a otros ficheros Perl. Si se ejecuta desde MacOS, descarga badbunny.rb o badbunnya.rb, dos scripts creados en Ruby. Los scripts de clientes de IRC se utilizan para redistribuir el virus a través del envío del fichero badbunny.odg vía DCC a otros usuarios. Desde VirusTotal.com hemos tenido acceso a una muestra de esta prueba de concepto enviada el día 22 de mayo. A fecha de 23 de mayo a las 13:00 hora española, es detectado como: JS.Badbun.A (BitDefender), StarBasic/Bunbad.A (eTrust-Vet), IRC-Worm.StarOffice.Badbunny.a (F-Secure), IRC-Worm.StarOffice.Badbunny.a (Ikarus), StarOffice/Badbun.A (Kaspersky), StarOffice/Badbun.A (NOD32v2), SB/BadBunny-A (Sophos), SB.Badbunny (Symantec), Virus.JS.Prompt#1 (VBA32). Este malware no representa un intento serio de infección. Sus creadores han enviado la muestra directamente a Sophos y su distribución resultará cuando menos discreta. Sus autores ya han escrito en el pasado malware de este tipo, pero esta muestra en concreto ha sido programada sin duda como prueba de concepto que demuestra la posibilidad de crear malware multiplaforma a través de OpenOffice, sin más pretensiones. Los virus de macro que se ejecutaban a través de MSOffice pertenecen ya al pasado, si bien a finales de los 90 y principios de esta década representaban el método más popular de infección. Este malware no supondrá amenaza alguna, y es muy poco probable que futuros intentos en esta línea tengan éxito. En cualquier caso debería servir para que OpenOffice vigilara de cerca la ejecución indiscriminada de macros en su suite y no cometa los mismos errores que Microsoft en su día. Opina sobre esta noticia: http://www.hispasec.com/unaaldia/3133/comentar Más información: BadBunny seen in "the wild"? OpenOffice multi-platform macro worm discovered http://www.sophos.com/pressoffice/news/articles/2007/05/badbunny.html Sergio de los Santos ssantos@hispasec.com Tal día como hoy: ----------------- 23/05/2006: Detalles sobre la vulnerabilidad de Microsoft Word http://www.hispasec.com/unaaldia/2768 23/05/2005: Múltiples vulnerabilidades en FreeRADIUS http://www.hispasec.com/unaaldia/2403 23/05/2004: Service Pack 2 para Microsoft ISA Server 2000 http://www.hispasec.com/unaaldia/2037 23/05/2003: Programación insegura mediante ejemplos http://www.hispasec.com/unaaldia/1671 23/05/2002: Vulnerabilidad en Ipswitch Imail 7.1 y anteriores http://www.hispasec.com/unaaldia/1306 23/05/2001: Vulnerabilidad en el demonio FTP de Solaris http://www.hispasec.com/unaaldia/941 23/05/2000: Restricciones a la criptografía y el Informe EPIC http://www.hispasec.com/unaaldia/574 23/05/1999: "Veneno", un nuevo virus de macro para la versión española de Word http://www.hispasec.com/unaaldia/208 ------------------------------------------------------------------- Claves PGP en http://www.hispasec.com/directorio/hispasec ------------------------------------------------------------------- Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe ------------------------------------------------------------------- (c) 2007 Hispasec http://www.hispasec.com/copyright ------------------------------------------------------------------- -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.7 (MingW32) iQEVAwUBRlTQRbXoJ59sgHAGAQLRsQf8DAeP+H1tUqigi3nQQ4YhdOpDVedtcRIq pDjrV+TlLc2fZFQA/86oeB4HG78r6nBC/kCmUm02w/HMnqQ4PFebXv46OOBPAhoW bg3Hqp6sbMQL23lTxS7lkTkg26Kjvo+vvqkmIwRhl2fG/t3LH9CFiboF0E9DJ4R7 RTZOY7gVyieo6LqkeRXWvEynux5kb3r/CJulxiv/sgONt8BSwYbMMbxzK438OPTJ eClESFHznmibWyUxD5+AkIXMQkLzt06P28H3Y+l16YE3Z+F85uhcLJEv2lHWzg5S EPSslp+gK0uZwpGDq+pgDbaq/icgfWtIn8eFO7K/JKr9AcXY0kyaVQ== =TPUT -----END PGP SIGNATURE----- AVISO DE CONFIDENCIALIDAD. Este correo y la información contenida o adjunta al mismo es privada y confidencial y va dirigida exclusivamente a su destinatario. everis informa a quien pueda haber recibido este correo por error que contiene información confidencial cuyo uso, copia, reproducción o distribución está expresamente prohibida. Si no es Vd. el destinatario del mismo y recibe este correo por error, le rogamos lo ponga en conocimiento del emisor y proceda a su eliminación sin copiarlo, imprimirlo o utilizarlo de ningún modo. CONFIDENTIALITY WARNING.This message and the information contained in or attached to it are private and confidential and intended exclusively for the addressee. everis informs to whom it may receive it in error that it contains privileged information and its use, copy, reproduction or distribution is prohibited. If you are not an intended recipient of this E-mail, please notify the sender, delete it and do not read, act upon, print, disclose, copy, retain or redistribute any portion of this E-mail. -- Saludos, miguel Los agujeros negros son lugares donde dios dividió por cero. Black holes are places where god divided by zero. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org