viernes, 24 de septiembre de 1999

Parches "Y2K" fraudulentos

Al igual que en la Edad Media miles de malhechores aprovechaban
el temor de la gente a la llegada del milenio, como aquéllos que
asaltaban por el Camino de Santiago a los peregrinos que acudían
a la capital gallega para expiar sus faltas y así tener su alma
limpia el día del juicio final, a las puertas de la llegada de
un nuevo milenio estamos presenciando un proceso similar, de la
mano de los escritores de virus.
Si bien es cierto que el nuevo milenio no empieza hasta el día
1 de enero del 2001, ya que no existió el año 0, parece que ya
resulta imposible convencer al gran porcentaje de la población
mundial que recibe el nuevo año con gran euforia pensando que
se trata de la llegada de un nuevo siglo... y milenio, de forma
análoga al proceso que se vivió en Europa ante la llegada del
año 1000. Y de la misma manera, salvando las diferencias, vemos
cómo son ahora los escritores de virus los encargados de cometer
ciertas fechorías, aprovechándose de la confusión de la gente.

Mientras que en la Edad Media se trató de la creencia de que se
acercaba el fin del mundo, actualmente el problema del milenio
se centra en la actualización de aquellos sistemas que no son
compatibles con una numeración anual de cuatro dígitos, cuestión
que lleva dando mucho que hablar, con especial intensidad, como
es lógico, en los últimos meses. Sea lo que sea, la confusión
vuelve a reinar, mil años después.

Hay quienes se han dado prisa y, aprovechando el auge de la
difusión de los llamados parches "Y2K", han camuflado código
maligno de distinta índole con el fin de expandir su creación
a lo largo de Internet. Los casos más recientes, y casi por
consiguiente los más sonados, son "Fix2001" y "Count2K", un
i-worm y un caballo de Troya respectivamente, que han saltado
en pocos días a las secciones de alerta de la mayoría de las
compañías antivirus de mayor relevancia a nivel internacional.

El primero es un i-worm de características muy similares al ya
famoso "Happy99": llega a nuestros buzones en forma de "attach",
acompañando a un mensaje en inglés y en español, presuntamente
proviniente de Microsoft, y una vez ejecutado crea un "dropper"
en el directorio de Windows para ejecutarse en cada arranque de
la máquina, tras haber modificado el registro del sistema y
mostrar al usuario un mensaje falso, haciéndole creer que su
sistema no necesita ser actualizado para la llegada del 2000. A
partir de este punto, el i-worm engancha las funciones "connect"
y "send" del módulo WSOCK32.dll, por medio de las cuales, una
vez que el usuario se ha conectado a Internet, intercepta los
datos recibidos y se envía por e-mail a las cuentas de correo
procesadas durante la conexión. La desinfección de este i-worm,
de procedencia aparentemente argentina, ha de ser muy cautelosa,
ya que "Fix2001" chequea su integridad y, en caso de detectar
alguna anomalía, procede a sobreescribir COMMAND.COM con un
troyano que, en el siguiente arranque, borrará todos los datos
de la unidad activa.

El troyano "Count2K" no es menos peligroso, si bien no borra
información del disco duro. El efecto es el contrario, ya que
el propósito de este troyano es, como el de otros, robar los
datos de conexión a Internet del usuario afectado. Este agente
infeccioso se expande por medio de un e-mail, nuevamente en
teoría enviado por Microsoft, en forma de fichero adjunto, de
un tamaño sensiblemente superior al de "Fix2001" (120k frente
a 12k). Una vez ejecutado, el troyano muestra un mensaje de
error de CRC mientras se autoexpande en un EXE y cinco DATs,
que rápidamente cambian de nombre, extensión y ubicación, para
trasladarse directos a la carpeta de Windows y sustituír al
conocido módulo WSOCK32.dll. El troyano se instala añadiendo
uno de sus ficheros al WIN.INI como "driver" del sistema, de
manera que en el siguiente arranque estará activo y listo para
monitorizar cualquier conexión a Internet y enviar los datos
de acceso a Internet (RAS) del usuario a su autor.

En HispaSec estamos seguros de que estos dos especímenes son
probablemente los primeros, pero no serán los últimos... aún
quedan más de tres meses para la llegada del 2000, y lo único
que cabe pensar es que lo peor está por venir. Desde nuestro
laboratorio, la recomendación más básica que podemos difundir
entre nuestros lectores es tan simple como no ejecutar por
norma ninguna aplicación adjunta a e-mails, a no ser que se
haya solicitado explícitamente de algún conocido, y siempre
manteniendo especial atención a todo lo que presuntamente nos
llegue por parte de Microsoft.

Más información:
AVPVE
Network Associates (Count2K)
Network Associates (Fix2001)



Giorgio Talvanti