Bubbleboy

bubbleboy   O Bubbleboy, versão 1.0, programa que ganhou o nome de um personagem do seriado "Seinfeld" ,  não é um vírus. É um worm que se transmite por e-mail escritos em html e que infecta o computador no momento em que se visualiza um mail. Foi descoberto em 08/11/99 e é escrito em VB Script.

É uma ameaça totalmente nova pois não necessita de arquivos anexados. Ele fica escondido como parte do código HTML que é usado em algumas mensagens. E viabiliza a contaminação apenas pela abertura de um mail, o que era um hoax até o surgimento do Bubbleboy.

O worm só trabalha nas versões em inglês e em espanhol dos sistemas operacionais Windows 95/98 e 2000, não afetando o Windows NT. Também requer a instalação do Windows Scripting Host  (WSH é padrão nas instalações de Windows 98 e 2000).
O Bubbleboy requer, ainda, o Internet Explorer 5.0 (IE) e o Microsoft Outlook (ou o Microsoft Outlook Express). Não afeta outros leitores de email como o Messenger da Netscape, o Pegasus Mail ou o Eudora.

Na verdade o worm não utiliza falhas nos programas de e-mail, mas uma falha de segurança no IE 5. Como os leitores de e-mail da série Outlook utilizam o IE como suporte estão também na lista de risco.

A ação do Bubbleboy:  

Embora tenha grande poder de disseminação, ele não danifica arquivos.
Porém, pode causar sobrecarga nos servidores de e-mail, pois as pessoas, sem saber que foram infectadas, ficarão enviando o Bubbleboy, de modo semelhante ao que aconteceu com o Happy99.

Vincent Gullotto, o diretor do FBI para deteccao de virus, declarou que o Bubbleboy poderá ser um catalisador para vírus muito mais destrutivos que em breve possam vir a existir.


A infecção:
    Os pc's que usam o MS Outlook são infectados ao abrir a mensagem no mail. Já os que tem o Outlook Express podem ser infectados quando vêem as mensagens utilizando a configuração "Preview Pane" - inspeção prévia, ou seja, nem é necessário abrir a mensagem.
Em ambos os casos se as configurações de segurança da área de Internet no IE5 estiverem marcadas como "High", o worm não será executado.
    Uma vez contaminado, o sistema passará a enviar e-mails com o vírus para todos os endereços de todos os "address books" - os catálogos de e-mails - existentes no pc.
Quando o email é visualizado o worm é responsável por:
- trocar o nome do usuário o para "BubbleBoy" dentro do registro do sistema e trocar o nome da empresa para "Vandelay Industries" .
- criar um arquivo chamado UPDATE.HTA na pasta C: \ windows \ startmenu \ programs \ startup, ou seja o worm é colocado no StartUp (Iniciar) do Sistema Operacional. Assim, na próxima vez que o pc for reiniciado o worm se replicará, enviando cópias de si mesmo dentro de mails. Apenas um mail é enviado para cada endereço que existir em cada livro de endereços do MS Outlook ou do Outlook Express.
A mensagem enviada por mail, tem 4992 bytes e possui essas características:

Assunto - Subject:  "Bubbleboy is back!"
De - From:                [pessoa que enviou a mensagem]
Texto da mensagem - Message body:  The BubbleBoy incident, pictures and sounds http://www.towns.com/dorms/tom/bblboy.htm  
"ILOVEYOU"   
"Kindly check the attached LOVELETTER coming from me."
Arquivo anexo - Attachement: "LOVE-LETTER-FOR-YOU.VBS" (com tamanho = 10307 kbs)


Indicações de infecção:   
São feitas modificações no registro do Windows:
HKEY_LOCAL_MACHINE\Software\OUTLOOK.BubbleBoy\ = OUTLOOK.Bubbleboy 1.0 by Zulu     ou
HKEY_LOCAL_MACHINE\Software\OUTLOOK.BubbleBoy\ = OUTLOOK.Bubbleboy 1.1 by Zulu
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner = Bubbleboy
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOrganization = Vandelay Industries

Patch:
    A Microsoft disponibilizou um pequeno patch de atualização, chamado q242308, para corrigir este defeito do Outlook e do IE em relação aos controles active-x. Não elimina o bubbleboy, mas pode controlar a funcionalidade dele.
http://www.microsoft.com/security/Bulletins/ms99-032.asp
Como não ser contaminado:    
    Essas instruções não garantem total segurança contra a infecção mas são preventivas.

a Verificar no Internet explorer  como está a habilitação da ativação dos controles active X. ( Quem usa o Internet Explorer naconfiguração padrão não corre perigo).
- Clicar em Ferramentas / Opções de Internet / Segurança
- Escolher a opção ALTA.
b Para quem tem windows98 e WINDOWS SCRIPT HOSTING instalado.
  Clicar em  "Painel de Controle / Adicionar e Remover Programas / Instalação do Windows"
  Dar um clique duplo em "Acessórios" (ou um clique  em "Detalhes").
  Rolar a lista até aparecer "Windows Scripting Host"
  Desmarcar essa opção
  Dar OK em tudo e reiniciar o Windows.
Procedimentos gerais de prevenção
    Há um conjunto de procedimentos gerais de prevenção contra vírus e outros programas maliciosos que sempre devem ser realizados (em qualquer computador, especialmente nos conectados à Internet).
Outras informações podem ser obtidas em:
http://www.uol.com.br/idgnow/pc/pc1999-11-10a.shl
http://www.mcafee.com/viruses/bubbleboy/  

http://www.symantec.com/avcenter/venc/data/vbs.bubbleboy.html
http://news.cnet.com/news/0-1006-200-1433792.html?st.dl.10014.prmo2.1006-200-1433792
http://www.antivirus.com/vinfo/security/sa110999.htm