Un nuevo virus, que llegaría a ser de los más famosos de la historia, se presentó en sociedad en la
mañana del viernes 26 de marzo de 1999. Fue
“liberado” en el grupo de
News“alt.sex”. Incluido en un archivo de Word bajo el nombre
“list.doc”, prometía una lista de direcciones y claves para acceder a sitios pornográficos
(unas 80). Lo firmaba
“Kwyjibo” (nombre extraído de la serie de dibujos animados “Los Simpsons”).
Este tipo de virus de macro se conocía desde 1995, cuando Joel McNamara escribió “Word Macro/DMV”. Pero lo verdaderamente novedoso era el uso muy astuto de la ingeniería social (algo que llamaba la atención de los usuarios y que según las estadísticas consume un porcentaje muy elevado del ancho de banda de Internet) asociado al método de transmisión por correo utilizando las direcciones de la Libreta de la víctima para que los receptores no sospecharan y ejecutaran ese archivo adjunto que les llegaba de un amigo o conocido.
Su expansión fue la más rápida hasta la fecha (tendría que llegar el ILOVEYOU para quitarle este primer puesto). El efecto más notable fue la ralentización de los servidores. Afectó a grandes compañías y proveedores de acceso a Internet. Pero Smith no incluyó rutinas destructivas que hubieran causado mucho daño.
Tras realizar una investigación muy rápida con el apoyo de programadores, empresas, etc., el jueves 1 de abril de 1999, el FBI detenía a David L. Smith, programador de 30 años, en Aberdeen (New Jersey). Pasó la noche en prisión y fue puesto en libertad bajo fianza de 15 millones de las pesetas de entonces. Se enfrentaba a una pena de hasta 40 años de cárcel.
En diciembre del mismo año se declaró culpable para reducir la pena. Fue condenado a 20 meses en una prisión federal.
El primer error de Smith fue usar el procesador de textos Word y su editor de Visual Basic (al que se accede pulsando Alt + F11), porque en su criatura iba su huella dactilar en forma del GUID (Global Unique Identifier) o número que identificaba de forma absoluta todos los ficheros generados con la copia que tenía instalada en su ordenador (no se molestó en cambiar el número con un editor hexadecimal ni en irse a un cibercafé para ponerlo “in the wild”, vamos, liberar a la “criatura”).
| Estos identificadores se han estado usando desde 1985 y Microsoft ha estado muy interesado siempre en este tipo de “delicatessen”. |
Smith había usado una cuenta robada de American Online (AOL) de un tal “Sky Rocket”, alias que pertenecía a Scott Steinmetz (que se puso rápidamente en contacto con las autoridades). El FBI localizó el proveedor local “Monmouth Internet” desde el que se había conectado telefónicamente. A pesar de que intentó cancelar la cuenta y tiró su ordenador a la basura y todos sus manuales de informática, no pudo escapar. AOL colaboró a fondo con las autoridades poniendo a su disposición todos los logs (registros) necesarios.
El nombre de “Melissa” provenía de una bailarina de “top-less” que David había conocido en Florida.
|
FICHA: VIRUS MELISSA |
| NOMBRE: Melissa o WM97/Melissa / ALIAS: Macro.Word97.Melissa
VARIANTES: Macro. Word97. Melissa.b, Macro.Excel97.Papa.a.
TIPO: Virus de Macro, Gusano.
TAMAÑO: 4 KB aprox.
ORIGEN: EE.UU. (Grupo de noticias alt.sex).
AUTOR: David L. Smith.
LENGUAJE: Visual Basic para Aplicaciones. Macro de Word.
INICIO ACTIVIDAD: 26 marzo 1999.
VULNERABILIDAD: Confianza.
VIAS INFECCION: Correo electrónico, plantilla de Word (Normal.dot)
OBJETIVO: Experimento técnico y de ingeniería social.
EFECTO: Puede comprometer la privacidad y saturar los servidores.
|
Se reproduce enviándose a las primeras cincuenta direcciones de la libreta (Outlook), y si no tiene este programa o conexión a Internet, se propagará por los documentos que se abran en ese ordenador (plantilla “Normal.dot”).
Puede enviar cualquier documento de Word del ordenador (por ejemplo ese que se titula contraseñas en el apunta todas las que usa en Internet :( ).
Llega con el Asunto: “Important message from” y el nombre del usuario afectado. (Mensaje importante de), y el Cuerpo: “Here is that document you asked for… don´t show anyone else ;-)”. (Aquí tienes el documento que me pediste…no se lo enseñes a nadie ;-)
Usaba dos programas muy “populares”: Word y Outlook.
Al ser un virus de macro, el código viene en el fichero, por lo que las variantes o “mutaciones” posteriores han resultado numerosas (y mucho más dañinas). Ha sido publicado en muchos lugares de la Red. Basta con escribir en un buscador “Melissa source code”, algo al alcance de todo el mundo. De todas formas no voy a incluir el código completo en el artículo para evitar problemas legales.
Mucho cuidado con lo que se hace con el código de un virus o de un gusano. Siempre deben usarse con fines educativos y en un ambiente controlado (ordenador desconectado de Internet).
| Seguro que Mr. Smith se lo hubiera pensado dos veces si hubiera imaginado que pasaría unas “dulces” vacaciones de 20 meses en una prisión federal. |
