• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / "Haiku", la poesía al servicio de un i-worm

"Haiku", la poesía al servicio de un i-worm

11 febrero, 2000 Por Hispasec Deja un comentario

Hace apenas unas horas salía a la luz la aparición de un nuevo
i-worm de factura española, bajo el nombre de «Haiku». Se trata
de un gusano capaz de autoenviarse a decenas de direcciones de
correo electrónico en tan apenas unos segundos, haciéndose pasar
por un generador aleatorio de «haikus».
Este i-worm viaja en forma de fichero, con una letra china por
icono, adjunto a un mensaje mediante el cual se explican, en
inglés, las características básicas de los «haikus», pequeños
poemas de tradición japonesa que pretenden plasmar por medio de
pocas palabras un momento concreto de percepción de algún
fenómeno de la naturaleza. El tema del e-mail es «Fw: Compose
your own haikus!», haciendo pensar al usuario que lo recibe que
se trata de un «forward» de un mensaje original que le ha sido
redireccionado:
:))

—– Original Message —–

>»Old pond…
> a frog leaps in
> water’s sound.»
>- Matsuo Basho.
>
>DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?
>
>Haiku is a small poetry with oriental metric that appeared in the
>XVI century and is being very popular, mainly in Japan and the USA.

>
>It’s done to transcend the limitation imposed by the usual language
>and the linear/scientific thinking that treat the nature and the
>human being as a machine.

>
>It usually has 3 lines and 17 syllables distributed in 5, 7 and 5.
>It must register or indicate a moment, sensation, impression or
>drama of a specific fact of nature. It’s almost like a photo of
>some specific moment of nature.
>
>More than inspiration, what you need in order to compose a real
>haiku is meditation, effort and perception.
>
>DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?
>
>Now you can! it is very easy to get started in this old poetry
>art. Attached to this e-mail you will find a copy of a simple
>haiku generator. It will help you in order to understand the
>basics of the metric, rhyme and subjects which should be used
>when composing a real haiku… just check it out! it’s freeware
>and you can use and spread it as long as you want!
Instalación
———–
En caso de ejecutar el fichero adjunto, llamado «Haiku.exe»,
el i-worm procedería a instalarse, copiándose al directorio de
Windows con el nombre «HaikuG.exe» y registrándose como una
aplicación de autoarranque en WIN.INI o en el registro de
configuraciones (en Windows9x o WindowsNT, respectivamente),
con el fin de ser ejecutado automáticamente en los siguientes
inicios de sesión de Windows.

Tras esto, que tiene lugar en apenas décimas de segundo y de
manera transparente al usuario, el gusano genera un «haiku» de
manera aleatoria y se lo muestra al usuario por medio de un
cuadro de diálogo. El i-worm genera dichos «haikus» a partir
de una serie de listas de palabras, de las que dispone de modo
ordenado, en función de una serie de categorías gramaticales,
completando un diccionario de un total de 175 vocablos, los
cuales ordena a partir de una serie de «esquemas» prefijados,
que son los que determinan la composición y la longitud de
cada uno de los tres versos de cada «haiku». Sorprendentemente,
los resultados que se llegan a obtener a partir del generador
de «haikus» de este i-worm no sólo no suelen ser descabellados,
sino que, en muchas ocasiones, pueden presumir de gozar de
bastante coherencia poética.

Es importante reseñar que, merced a esta habilidad, «Haiku»
se convierte en el segundo i-worm -junto con «Happy99»- que
realmente funciona como el usuario espera, en contraposición
con el resto de gusanos, que suelen prometer una serie de
funciones que posteriormente aciertan a resolver mediante un
falso mensaje de error. Este simple hecho podría llegar a
aumentar sensiblemente la capacidad de expansión potencial de
«Haiku», al poder llegar a darse la posibilidad de encontrarlo
en grupos de noticias o en páginas webs de aficionados a esta
disciplina poética, publicado por usuarios ajenos al peligro
que realmente supone la ejecución de este i-worm.
Expansión
———
La segunda parte del ciclo vital de «Haiku» empieza desde el
momento en que el usuario ha reiniciado su ordenador, hecho
que aprovecha el i-worm para activarse de manera permanente
en memoria. Mediante el uso de una API indocumentada, este
gusano es capaz de ocultar su presencia de la lista de tareas,
haciendo imposible su detección a simple vista.

De este modo, «Haiku» está en condiciones de hacer un chequeo
cada minuto en busca de la presencia del programa RNAAPP.EXE
en memoria, o lo que es lo mismo, una sesión de Internet por
medio del «Acceso telefónico a redes». Llegado a este punto,
el i-worm deja un intervalo de un minuto y medio de espera
(probablemente para evitar ejecutarse mientras el usuario aún
se está conectando a Internet), periodo de tiempo tras el cual
procede a efectuar una búsqueda exhaustiva de direcciones de
correo electrónico a partir de todos los ficheros con extensión
DOC, EML, HTM, HTML, RTF y TXT almacenados en la carpeta de
documentos por defecto del usuario infectado.

Tras esto, el gusano está en condiciones de conectar, usando
el puerto 25, con la dirección 194.106.68.104 (correspondiente
a smtp.melita.net, un servidor de envío de correo de un ISP
de procedencia maltesa), a través del cual procede a enviarse
a todas las direcciones de e-mail encontradas. De nuevo, el
i-worm nos sorprende con una novedad: en lugar de enviar un
mensaje para cada destinatario, «Haiku» envía un solo e-mail
para todas sus posibles víctimas, borrando posteriormente toda
huella en las cabeceras del mensaje, y haciendo creer a cada
uno de los receptores que se trata de un e-mail de un único
destinatario. Mediante esta curiosa técnica, este gusano es
capaz de haberse enviado en menos de medio minuto a varios
cientos de direcciones de correo electrónico, lo cual aumenta
aún más si cabe el peligro que representa para los usuarios de
ordenador con acceso a Internet.

El motor SMTP de «Haiku» es el encargado de llevar esto a cabo,
pero su labor no termina aquí. El gusano además se encarga de
obtener el nombre del usuario con el que está registrada la
copia activa de Windows, con el fin de ganar enteros a la hora
de obtener la confianza del destinatario final. Ya por último,
este proceso de envío se cierra tras haber adjuntado una copia
del gusano codificada en BASE64 con cabeceras MIME, un formato
soportado por todos los clientes de correo electrónico.
Activación
———-
En una posibilidad entre dieciséis, «Haiku» pone en marcha su
activación o «payload», que, afortunadamente, no contiene ningún
tipo de carga dañina. El i-worm se conecta por el puerto 80, el
destinado a servicios web, al servidor members.xoom.com, del que
procede a descargar el archivo /haiku_wav/Haiku.wav al directorio
raíz del disco duro del usuario. Este fichero de sonido contiene
una breve melodía oriental, la cual el gusano reproduce, momento
tras el cual pasa a mostrar un cuadro de diálogo al usuario:
[ I-Worm.Haiku, by Mister Sandman ]

Did you know
The smallest box may hold
The biggest treasure?
Bajo una estructura de «haiku», el i-worm se manifiesta por
medio de un mensaje empapado de tintes filosóficos orientales,
acompañados por el mensaje de «copyright» de su autor, el ya
legendario Mister Sandman, miembro fundador del conocido grupo
de escritores de virus 29A, y que aparentemente se encontraba
apartado de la escena vírica desde la distribución de «Girigat»,
su última creación vírica hasta la fecha.
Desinstalación
————–
Un último dato positivo con respecto a este i-worm: al igual
que el ya analizado «Cholera» del también creador de virus
español GriYo, el i-worm «Haiku», tras haberse enviado de
manera satisfactoria por e-mail a todas las direcciones de
correo electrónico encontradas, procede a desinstalarse del
sistema, dejando como único resquicio el ejecutable llamado
«HaikuG.exe» en el directorio de Windows del usuario, algo
probablemente deliberadamente «descuidado», con el fin de
evitar de que el i-worm vuelva a entrar en actividad en caso
de que el usuario ejecute de nuevo el generador de «haikus»
original, dado el hecho de que, al detectar la presencia de
una copia ya existente, el gusano no volvería a instalarse.
Advertencia
———–
Como siempre, desde HispaSec hacemos llegar a todos nuestros
lectores, y en particular a los suscriptores del servicio de
«una-al-día», nuestra intención de colaboración, no sólo en
una campaña constante de concienciación, sino también en una
intervención activa en pro de la desinfección de aquellos
usuarios que hayan sido víctimas de un ataque vírico.

A pesar de que este i-worm todavía no ha sido encontrado «in
the wild», existe la posibilidad, debido a su más que reciente
descubrimiento, de que aparezcan casos aislados -o bien focos
concentrados en determinadas áreas geográficas- de infección.

Por ello, instamos una vez más a la gente que deposita su
confianza en nosotros día a día a que no duden en hacernos
partícipes de cualquier indicio, sospecha, o ataque directo
en relación a este i-worm, con el fin de que podamos avisar
de manera puntual a las compañías antivirus más relevantes
acerca de las posibles incidencias que se puedan derivar de
la aparición de este nuevo agente infeccioso.
Más información:
Computer Associates, Inc.
Network Associates, Inc.
Panda Software
Sophos
Symantec

Giorgio Talvanti
talvanti@hispasec.com

Bernardo Quintero
bernardo@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Tamagotchi para hackers: Flipper Zero
  • Telegram como medio para robar tarjetas de crédito

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR