Detección agregada	13 abr 2009
Actualización lanzada	14 abr 2009 06:39 GMT
Descripción agregada	22 abr 2009

Detalles técnicos

Familia de gusanos XSS que se difundieron en la red social Twitter durante abril de 2009. Para reproducirse, usan vulnerabilidades XSS. Su autor es el norteamericano Michael “Mikeyy" Mooney, de 17 años.

El gusano utilizaba las vulnerabilidades en el software de Twitter que permitían realizar ataques del tipo “scripting entre sitios” (XSS) y modificar las páginas de las cuentas de los usuarios. El contagio se realizaba al visitar una página modificada en el sitio Twitter o al seguir un enlace contenido en un mensaje falso enviado en nombre de un usuario de Twitter. En estas situaciones se usaba un escenario malicioso JavaScript.

Las principales funciones del gusano son tres:

• XHConn- que usa la función estándar XMLHttpRequest() de llamadas ajax;
• Urlencode – que usa la función estándar encodeURIComponent() para codificar URL;
• Wait – que es la que contiene las funciones maliciosas.

Net-Worm.JS.Twettir.b es una variante “enmarañada” (obfuscated) del gusano.

En esta versión el estatus del usuario no cambia, pero se actualizan los parámetros user[url] y user[profile_link_color] mediante llamadas POST para agregar a la página uno de los siguientes scripts elegidos al azar:

Además, en nombre del usuario actual, mediante llamada POST se envía una notificación al usuario titular del id = 30685046 que contiene el mensaje “You got me. :)”

Además, el gusano cambia los parámetros del usuario por los siguientes:

que hacen que se modifiquen el nombre y el fondo de la página del usuario infectado.