Hace apenas unas horas salía a la luz la aparición de un nuevo
i-worm de factura española, bajo el nombre de “Haiku”. Se trata
de un gusano capaz de autoenviarse a decenas de direcciones de
correo electrónico en tan apenas unos segundos, haciéndose pasar
por un generador aleatorio de “haikus”.
Este i-worm viaja en forma de fichero, con una letra china por
icono, adjunto a un mensaje mediante el cual se explican, en
inglés, las características básicas de los “haikus”, pequeños
poemas de tradición japonesa que pretenden plasmar por medio de
pocas palabras un momento concreto de percepción de algún
fenómeno de la naturaleza. El tema del e-mail es “Fw: Compose
your own haikus!”, haciendo pensar al usuario que lo recibe que
se trata de un “forward” de un mensaje original que le ha sido
redireccionado:
:))
—– Original Message —–
>”Old pond…
> a frog leaps in
> water’s sound.”
>- Matsuo Basho.
>
>DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?
>
>Haiku is a small poetry with oriental metric that appeared in the
>XVI century and is being very popular, mainly in Japan and the USA.
>
>It’s done to transcend the limitation imposed by the usual language
>and the linear/scientific thinking that treat the nature and the
>human being as a machine.
>
>It usually has 3 lines and 17 syllables distributed in 5, 7 and 5.
>It must register or indicate a moment, sensation, impression or
>drama of a specific fact of nature. It’s almost like a photo of
>some specific moment of nature.
>
>More than inspiration, what you need in order to compose a real
>haiku is meditation, effort and perception.
>
>DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?
>
>Now you can! it is very easy to get started in this old poetry
>art. Attached to this e-mail you will find a copy of a simple
>haiku generator. It will help you in order to understand the
>basics of the metric, rhyme and subjects which should be used
>when composing a real haiku… just check it out! it’s freeware
>and you can use and spread it as long as you want!
Instalación
———–
En caso de ejecutar el fichero adjunto, llamado “Haiku.exe”,
el i-worm procedería a instalarse, copiándose al directorio de
Windows con el nombre “HaikuG.exe” y registrándose como una
aplicación de autoarranque en WIN.INI o en el registro de
configuraciones (en Windows9x o WindowsNT, respectivamente),
con el fin de ser ejecutado automáticamente en los siguientes
inicios de sesión de Windows.
Tras esto, que tiene lugar en apenas décimas de segundo y de
manera transparente al usuario, el gusano genera un “haiku” de
manera aleatoria y se lo muestra al usuario por medio de un
cuadro de diálogo. El i-worm genera dichos “haikus” a partir
de una serie de listas de palabras, de las que dispone de modo
ordenado, en función de una serie de categorías gramaticales,
completando un diccionario de un total de 175 vocablos, los
cuales ordena a partir de una serie de “esquemas” prefijados,
que son los que determinan la composición y la longitud de
cada uno de los tres versos de cada “haiku”. Sorprendentemente,
los resultados que se llegan a obtener a partir del generador
de “haikus” de este i-worm no sólo no suelen ser descabellados,
sino que, en muchas ocasiones, pueden presumir de gozar de
bastante coherencia poética.
Es importante reseñar que, merced a esta habilidad, “Haiku”
se convierte en el segundo i-worm -junto con “Happy99”- que
realmente funciona como el usuario espera, en contraposición
con el resto de gusanos, que suelen prometer una serie de
funciones que posteriormente aciertan a resolver mediante un
falso mensaje de error. Este simple hecho podría llegar a
aumentar sensiblemente la capacidad de expansión potencial de
“Haiku”, al poder llegar a darse la posibilidad de encontrarlo
en grupos de noticias o en páginas webs de aficionados a esta
disciplina poética, publicado por usuarios ajenos al peligro
que realmente supone la ejecución de este i-worm.
Expansión
———
La segunda parte del ciclo vital de “Haiku” empieza desde el
momento en que el usuario ha reiniciado su ordenador, hecho
que aprovecha el i-worm para activarse de manera permanente
en memoria. Mediante el uso de una API indocumentada, este
gusano es capaz de ocultar su presencia de la lista de tareas,
haciendo imposible su detección a simple vista.
De este modo, “Haiku” está en condiciones de hacer un chequeo
cada minuto en busca de la presencia del programa RNAAPP.EXE
en memoria, o lo que es lo mismo, una sesión de Internet por
medio del “Acceso telefónico a redes”. Llegado a este punto,
el i-worm deja un intervalo de un minuto y medio de espera
(probablemente para evitar ejecutarse mientras el usuario aún
se está conectando a Internet), periodo de tiempo tras el cual
procede a efectuar una búsqueda exhaustiva de direcciones de
correo electrónico a partir de todos los ficheros con extensión
DOC, EML, HTM, HTML, RTF y TXT almacenados en la carpeta de
documentos por defecto del usuario infectado.
Tras esto, el gusano está en condiciones de conectar, usando
el puerto 25, con la dirección 194.106.68.104 (correspondiente
a smtp.melita.net, un servidor de envío de correo de un ISP
de procedencia maltesa), a través del cual procede a enviarse
a todas las direcciones de e-mail encontradas. De nuevo, el
i-worm nos sorprende con una novedad: en lugar de enviar un
mensaje para cada destinatario, “Haiku” envía un solo e-mail
para todas sus posibles víctimas, borrando posteriormente toda
huella en las cabeceras del mensaje, y haciendo creer a cada
uno de los receptores que se trata de un e-mail de un único
destinatario. Mediante esta curiosa técnica, este gusano es
capaz de haberse enviado en menos de medio minuto a varios
cientos de direcciones de correo electrónico, lo cual aumenta
aún más si cabe el peligro que representa para los usuarios de
ordenador con acceso a Internet.
El motor SMTP de “Haiku” es el encargado de llevar esto a cabo,
pero su labor no termina aquí. El gusano además se encarga de
obtener el nombre del usuario con el que está registrada la
copia activa de Windows, con el fin de ganar enteros a la hora
de obtener la confianza del destinatario final. Ya por último,
este proceso de envío se cierra tras haber adjuntado una copia
del gusano codificada en BASE64 con cabeceras MIME, un formato
soportado por todos los clientes de correo electrónico.
Activación
———-
En una posibilidad entre dieciséis, “Haiku” pone en marcha su
activación o “payload”, que, afortunadamente, no contiene ningún
tipo de carga dañina. El i-worm se conecta por el puerto 80, el
destinado a servicios web, al servidor members.xoom.com, del que
procede a descargar el archivo /haiku_wav/Haiku.wav al directorio
raíz del disco duro del usuario. Este fichero de sonido contiene
una breve melodía oriental, la cual el gusano reproduce, momento
tras el cual pasa a mostrar un cuadro de diálogo al usuario:
[ I-Worm.Haiku, by Mister Sandman ]
Did you know
The smallest box may hold
The biggest treasure?
Bajo una estructura de “haiku”, el i-worm se manifiesta por
medio de un mensaje empapado de tintes filosóficos orientales,
acompañados por el mensaje de “copyright” de su autor, el ya
legendario Mister Sandman, miembro fundador del conocido grupo
de escritores de virus 29A, y que aparentemente se encontraba
apartado de la escena vírica desde la distribución de “Girigat”,
su última creación vírica hasta la fecha.
Desinstalación
————–
Un último dato positivo con respecto a este i-worm: al igual
que el ya analizado “Cholera” del también creador de virus
español GriYo, el i-worm “Haiku”, tras haberse enviado de
manera satisfactoria por e-mail a todas las direcciones de
correo electrónico encontradas, procede a desinstalarse del
sistema, dejando como único resquicio el ejecutable llamado
“HaikuG.exe” en el directorio de Windows del usuario, algo
probablemente deliberadamente “descuidado”, con el fin de
evitar de que el i-worm vuelva a entrar en actividad en caso
de que el usuario ejecute de nuevo el generador de “haikus”
original, dado el hecho de que, al detectar la presencia de
una copia ya existente, el gusano no volvería a instalarse.
Advertencia
———–
Como siempre, desde HispaSec hacemos llegar a todos nuestros
lectores, y en particular a los suscriptores del servicio de
“una-al-día”, nuestra intención de colaboración, no sólo en
una campaña constante de concienciación, sino también en una
intervención activa en pro de la desinfección de aquellos
usuarios que hayan sido víctimas de un ataque vírico.
A pesar de que este i-worm todavía no ha sido encontrado “in
the wild”, existe la posibilidad, debido a su más que reciente
descubrimiento, de que aparezcan casos aislados -o bien focos
concentrados en determinadas áreas geográficas- de infección.
Por ello, instamos una vez más a la gente que deposita su
confianza en nosotros día a día a que no duden en hacernos
partícipes de cualquier indicio, sospecha, o ataque directo
en relación a este i-worm, con el fin de que podamos avisar
de manera puntual a las compañías antivirus más relevantes
acerca de las posibles incidencias que se puedan derivar de
la aparición de este nuevo agente infeccioso.
Más información:
Computer Associates, Inc.
Network Associates, Inc.
Panda Software
Sophos
Symantec
talvanti@hispasec.com
Bernardo Quintero
bernardo@hispasec.com
Deja un comentario