No hace demasiado tiempo analizábamos en esta misma sección las
características de dos innovadores i-worms: “BubbleBoy”, de origen
argentino, y, más recientemente, el español “Plage2000”. Ahora ha
llegado el turno de “Unicle” y “WinExt”, las respectivas segundas
generaciones de sus predecesores, esperando que, por una vez, no
sea bueno el dicho de que “no hay dos sin tres”.
Desde China nos ha llegado el primero, “Unicle”, que, por suerte,
no es capaz de funcionar en versiones de Windows distintas a las
de su país de origen. Este dato, unido al bajo porcentaje de
usuarios chinos con acceso a Internet debido a las restricciones
gubernamentales, nos hace vaticinar que, afortunadamente, este
i-worm, a pesar de la intrinsecidad de su peligro, tiene pocos
argumentos a su favor para acabar apareciendo “in the wild”.
Parece tratarse de un i-worm en fase experimental que, de un modo
u otro, ha caído en manos de las compañías antivirus. Al menos
eso es lo que se puede deducir a partir de una serie de rutinas
que parecen haber sido implementadas para llevar a cabo una serie
de funciones que finalmente no es posible encontrar en “Unicle”.
Aspectualmente podríamos decir que se trata de un calco del ya
célebre “BubbleBoy”: busca la carpeta “Inicio” y crea en la
misma una copia de su código en formato HTA, con el fin de ser
ejecutado automáticamente en los siguientes arranques de la
máquina infectada. La parte aparentemente experimental empieza
en el momento en que este i-worm busca un servidor SMTP en el
registro de configuraciones del usuario, para luego no usarlo
en ningún momento, y, sobre todo, cuando se conecta a un FTP,
del que intenta descargar un fichero autoextraíble, MSIE.EXE,
del que extrae sus contenidos y ejecuta precisamente uno de los
archivos resultantes, EXPLORER.EXE, sin ulteriores consecuencias
de cara a la integridad de los datos del usuario infectado.
Por su parte, le toca esta vez a Francia ser el país de origen
de un curioso i-worm que inevitablemente nos recuerda a otro
espécimen ya comentado por medio de este servicio, “Plage2000”,
que desde hace unas semanas ha sido declarado “in the wild” por
diversas compañías antivirus. Se trata de “WinExt”, un gusano
que se instala en los ordenadores infectados en el directorio
de sistema de Windows con el nombre WINEXT.EXE, y que es capaz
de responder los mensajes no leídos del usuario por medio de
rutinas MAPI. Todas las respuestas incluyen el prefijo “Re: “
delante del asunto de cada e-mail, y llevan como texto una de
cuatro posibles alternativas:
1) Hi, (destinatario)
[…Mensaje original…]
See You Soon
2) Salut (destinatario),
[…Mensaje original…]
A+.
3) […Mensaje original…]
A bientot.
4) […Mensaje original…]
J’ai bien re u ton message,
je m’en occupe rapidement.
En attendant, regardes le fichier joint.
Todas ellas, por supuesto, aparecen siempre acompañadas de una
copia del i-worm, que “viaja” con el nombre TRYIT.EXE. Por si
esto fuese poco, “WinExt” tiene ciertas capacidades de “puerta
trasera”, por medio de las cuales admite comandos remotos que
permiten borrar mensajes o desinstalar el i-worm del sistema,
hecho que, en cualquier caso, tiene lugar de manera puntual en
el mes de agosto. Vemos así cómo un i-worm más se sube al carro
de los especímenes que, como “Cholera” o “Haiku”, se desinstalan
de las máquinas infectadas tras haber concluído su trabajo.
Como nota anecdótica, quedaría por comentar la activación de
“WinExt”, que tiene lugar aproximadamente veinte días antes de
autodestruírse: el gusano envía, entre una serie de posibles
textos, una felicitación de cumpleaños a la dirección de correo
electrónico “nathalie.paget@francetelecom.fr”, firmada por el
presunto nombre real del autor del i-worm, “Loutine”.
Más información:
“Unicle” (AVP)
“WinExt” (AVP)
talvanti@hispasec.com
Deja un comentario