Allá por el verano comenzaba a sembrar el pánico un nuevo i-worm,
conocido como «ZippedFiles», que se extendió con gran rapidez, al
tratarse de uno de los primeros especímenes de su género. Por si
esto fuese poco, su «payload» destructivo ha hecho de este agente
infeccioso uno de los más temidos de los que conocemos hasta el
momento. Si bien es cierto que no hay segundas partes buenas, el
autor de este i-worm golpea dos veces, y lo cierto es que parece
ser que «MiniZip» lleva camino de seguir los pasos de su hermano
mayor, cerrando por ahora una temible saga de gusanos de Internet.
En realidad, hablar de una segunda versión, hasta de un «remake»,
resultaría, además de atrevido, incorrecto. Y es que parece ser
que el encargado de rebautizar este i-worm se declara, de uno u
otro modo, fan de las películas de Austin Powers. En cualquier
caso, la denominación «MiniZip», en detrimento de «ZippedFiles»,
seguido del número de bytes de la nueva versión, ha cuajado entre
los responsables de las compañías antivirus y los diversos medios
de comunicación que han hecho eco de la irrupción de este i-worm
en miles de ordenadores de la red.
La única pero importante diferencia entre las dos versiones de
«ZippedFiles» radica en la innovación que ha supuesto la adición
de una rutina de autocompresión basada en el algoritmo NeoLite,
que reduce el tamaño del i-worm a una longitud total de 120495
bytes, unos 90 kilbytes menos que la versión original del programa
portador. A pesar de que los demás aspectos de este espécimen han
sido conservados tal cual, el simple hecho de haber introducido una
rutina de autocompresión permite al i-worm «reempezar» de cero, ya
que ningún producto antivirus es capaz de detectar a «MiniZip», al
darse la circunstancia de que las cadenas empleadas a tal efecto han
cambiado de forma y de posición dentro de los portadores víricos,
algo que ha favorecido un rebrote de infecciones a partir de un
agente infeccioso ya identificado.
Así pues, aprovechamos para recordar a nuestros lectores cuáles
eran los rasgos más característicos y significativos del hermano
mayor de «MiniZip», con el fin de evitar que puedan llegar a
infectarse con esta nueva variante de «ZippedFiles». En primer
lugar, hay que destacar que «MiniZip» llega a nuestro ordenador
en forma de fichero adjunto, llamado «zipped_files.exe» (siempre
representado por un icono que nos hace pensar que se trata de un
fichero ZIP), acompañando a un e-mail cuyo contenido es:
Hi (destinatario)!
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
bye
Si el usuario que ha recibido el e-mail efectúa un doble click
sobre el fichero adjunto, pensando que se trata de un archivo
comprimido que contiene documentos, el i-worm procura, por medio
de un cuadro de diálogo que muestra un mensaje de error, de
disuadir al usuario y hacerle pensar que el fichero ha llegado
incompleto a su ordenador o que se trata de un ZIP defectuoso.
Nada más lejos de la realidad, ya que, mientras esto sucede, el
portador de «ZippedFiles» se copia al directorio de sistema de
Windows, y se añade al fichero WIN.INI con el fin de ejecutarse
en cada arranque del ordenador, tras los cuales busca nuevas
cuentas de correo electrónico en las bases de mensajes recibidos
de Microsoft Outlook, a los cuales responde como si del usuario
se tratase. Lo más peligroso es que, además de esto, el i-worm
procede, mediante ciclos de treinta minutos de duración, a borrar
todos los ficheros con extensión ASM, C, CPP, DOC, H, PPT y XLS
del disco duro.
Una vez más, instamos a nuestros lectores a extremar todo tipo
de precauciones con respecto a la ejecución de ficheros adjuntos
no solicitados, aunque éstos hayan sido presuntamente enviados
por una persona en la que tengan máxima confianza. Es imposible
saber con certeza si un usuario está infectado, y los primeros
afectados a raíz de una máquina contagiada son, en este caso,
las personas con las que el propietario de dicha máquina mantiene
o ha mantenido algún tipo de conversación por medio de correo
electrónico en los últimos meses.
Más información (compañías antivirus)
————————————-
Symantec
NAi
DataFellows
AVP
TrendMicro
Panda Software
Sophos
Más información (medios de comunicación)
—————————————-
MSNBC
IDG
InfoWorld
USA Today
Wired
talvanti@hispasec.com
Deja un comentario