BadBunny, un worm per OpenOffice

Sophos ha segnalato un nuovo worm battezzato SB/BadBunny in grado di colpire OpenOffice e StarBasic sotto Windows, Mac OS X e Linux. Il file malevolo si presenta sotto forma di documento OpenOffice Draw dal nome badbunny.odg e utilizza il linguaggio di scripting presente nella suite per scaricare una immagine e modificare il comportamento dei principali programmi IRC (mIRC e X-Chat) con lo scopo di diffondere il worm ad altri utenti.

Una volta aperto il documento, SB/BadBunny lancia una macro in grado di compie una serie di azioni che differiscono a seconda del sistema operativo utilizzato.

• Windows: crea un file chiamato drop.bad che viene poi spostato nella cartella dove risiede mIRC (se presente nel sistema). Inoltre genera e lancia un file JavaScript denominato badbunny.js;
• Linux: crea il file badbunny.py come script Xchat e inoltre genera un file Pearl denominato badbunny.pl;
• MacOs: crea uno o due script Ruby chiamati badbunny.rb e badbunnya.rb
  Gli script inseriti in mIRC e Xchat vengono utilizzati per duplicare e diffondere SB/BadBunny ad altri utenti.

Il worm scarica e visualizza l’immagine di una donna discinta in compagnia di un uomo vestito da coniglio, in contesto bucolico ed in atteggiamenti inequivocabili.

Sophos classifica la minaccia come ancora poco diffusa e la ritiene una semplice dimostrazione più che una reale minaccia: «questo è un malware appartenente alla vecchia scuola», ha affermato Graham Cluley, senior technology consultant per Sophos, «sembra scritto principalmente come dimostrazione piuttosto che costituire un serio tentativo di spiare e rubare informazioni dai computer degli utenti. Un hacker finanziariamente motivato avrebbe puntato su programmi più utilizzati e non avrebbe incorporato una immagine così bizzarra». Curiosamente sembra che siano stati gli stessi ideatori di SB/BadBunny ad inviare il file malevolo direttamente ai ricercatori Sophos.