domingo, 26 de septiembre de 1999

"Suppl", el primer i-worm basado en Word

Es posible comprobar cómo, en los últimos meses, la producción
vírica se centra con especial intensidad en dos campos: virus
de macro e i-worms. Este hecho explica la aparición de "Suppl",
un i-worm híbrido basado en la ejecución automática de rutinas
en documentos de Word, de la misma manera que funcionan los
abundantes virus de macro.
De acuerdo con Eugene Kaspersky, de AVP, se trata de un i-worm
de origen ruso o ex-soviético, hecho que se ha podido comprobar
a partir de la versión del Word con la que fue generado el DOC
que sirve de vehículo a "Suppl" y que ha sido enviado a varios
grupos de noticias este mismo mes.

"Suppl" llega a nuestros buzones por medio de e-mails junto a
los que aparece, en forma de fichero adjunto, como "SUPPL.DOC",
de donde se ha tomado su nombre. Cuando este documento es
abierto tiene lugar la ejecución automática de su única macro,
denominada "Document_Open". Por medio de esta macro, "Suppl"
crea una copia del documento, con el nombre "ANTHRAX.INI", en
el directorio de Windows, junto con una DLL contenida en el
fichero DOC infectado y previamente comprimida con el método
LZH.

Modificando el fichero WININIT.INI, el i-worm consigue que sea
el propio Windows el que renombre esta DLL como WSOCK32.dll,
conservando el módulo original como WSOCK33.dll. De este modo,
"Suppl" consigue tener acceso total a los servicios de red, de
manera que podrá monitorizar las actividades necesarias para
así enviarse a otros ordenadores por e-mail.

Al igual que otros i-worms, como "Happy99" o "Fix2001", nuestro
protagonista sólo se interesa por las APIs "connect" y "send",
suficientes para saber cuándo se conecta el propietario de la
máquina infectada a la red y cuándo se están enviando datos a
otros usuarios por correo electrónico, ocasión que aprovecha
"Suppl" para adjuntar un nuevo documento infectado y así cerrar
su ciclo reproductor, que, afortunadamente, no afecta a quienes
trabajen con WindowsNT.

A pesar de que hasta este punto todo parezca estar en orden y
que no hayamos comentado ninguna característica que lo hiciese
de una manera u otra especial con respecto a los i-worms que
conocemos por ahora, "Suppl" tiene una sorpresa preparada para
los usuarios afectados, y es que, antes de despedirse de una
máquina infectada, este i-worm borra todos los ficheros con
extensión ARJ, DBF, DOC, RAR, RTF, TXT, XLS y ZIP de aquellos
ordenadores accesibles, ya sea de manera local o remota. Si
bien se trata de una activación similar a la que hemos visto
en el i-worm "ZippedFiles", es necesario hacer eco del peligro
que entraña para aquellos usuarios afectados por "Suppl" en un
plazo inferior a siete días, ya que aún se encuentran a tiempo
de salvar su información por medio de software antivirus.

Más información:
AVPVE
DataFellows
NAi
Sophos
Symantec
Trend



Giorgio Talvanti