Según ha tenido ocasión de saber el laboratorio de Hispasec en
las últimas horas, se han encontrado indicios de actividad en
libertad (´in-the-wild´) de “Sysid”, un gusano de probable origen
asiático que introduce conceptos tan innovadores como peligrosos
en el abanico de posibilidades de la programación de “i-worms”.
Se trata de un espécimen programado en Delphi, de formato PE
(´Portable Executable´, ejecutable de Win32), que alcanza los
200 kilobytes de longitud tras haber sido procesado por medio del
conocido compresor Aspack, reduciendo los casi 400 originales.
El gusano se presenta adjunto a un mensaje de correo electrónico
procedente de un usuario conocido, bajo uno de los cien nombres
posibles de los que se vale para camuflarse, entre los que cabría
destacar “Tools.exe”, “Phone.exe”, “Office98fix.exe”, “Joke.exe”,
“WinAmp.exe”, “MyResume.exe”, “BallGame.exe”, “PlayBoy.exe”,
“Click Me.exe”, “Sex Picture.exe” o “MP3.exe” – juegos, programas
relacionados con MP3, sexo, currículums… Los más recurrentes
temas son empleados como armas a favor de “Sysid” para conseguir
despertar la atención de sus futuribles víctimas.
Los e-mails portadores se caracterizan, asimismo, por la ausencia
de texto en el cuerpo del mensaje y por la existencia de otros
tres ficheros adjuntos: un fichero de extensión DOC, JP(E)G o
XLS seleccionado al azar de la carpeta de Documentos del usuario
infectado, y dos mensajes cualesquiera extraídos de la carpeta
“Elementos enviados” del conocido cliente de correo MS Outlook,
sin cuya presencia el gusano “Sysid” es incapaz de funcionar. De
esa misma carpeta es de donde, de igual forma, es elegido el
tema o asunto de los e-mails que finalmente serán enviados desde
los ordenadores infectados, incrementando así la credibilidad
por parte de los futuros destinatarios.
Una vez ejecutado, el fichero huésped que alberga el código del
gusano muestra una ventana en pantalla con el título “Personal
ID Generator”, un par de botones de radio para elegir el sexo de
la persona que ejecuta la aplicación, y un botón de salida de
la misma. Se trata de un programa escrito en codificación china
tradicional y de escasa utilidad, cuyo único propósito consiste
en distraer la atención de los destinatarios de “Sysid” mientras
el gusano se instala en el sistema operativo.
Y es precisamente su etapa de instalación en donde encontramos
una nueva particularidad inédita en otros patógenos del género
hasta el momento: tras haber efectuado una copia del código del
programa portador a los directorios por defecto de Windows y de
Sistema bajo el nombre “SYSID.EXE”, el gusano crea una nueva llave
en el registro de configuraciones de la máquina local, con el
fin de ser ejecutado en cada arranque:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WindowsVersion = “sysid”
La aportación novedosa que efectúa este espécimen consiste en
lo que en virología informática se conoce como des/activación
“on the fly”, o, lo que es lo mismo, el “malware” esconde todo
indicio de su presencia en cada momento susceptible de poder ser
examinado por el usuario o por algún producto antivirus. En el
caso de “Sysid”, el gusano activa la llave anteriormente descrita
sólo en el momento en que detecta que la sesión activa de
Windows está siendo cerrada, y la borra tan pronto como es
ejecutado en el siguiente arranque y su presencia en memoria está
ya garantizada, asegurándose de esta forma de no poder ser ni
descubierto ni desactivado, a menos que el usuario conozca en
detalle las características del patógeno y se decida a borrar
los ficheros semilla, instalados en los directorios del sistema.
Completado el proceso de instalación, la fase final necesaria
para cerrar el ciclo vital de “Sysid” es la expansión. Para esto
el gusano se vale de un pequeño programa escrito en VBS (Visual
Basic Script), que crea en el directorio por defecto de Windows
bajo el nombre “WINVER.VBS”. La función de éste consiste en
obtener de forma aleatoria entradas de la libreta de direcciones
del usuario afectado, en un número dependiente a la cantidad de
cuentas que hayan sido añadidas a la misma; así, si el número
es menor de 200, “Sysid” seleccionará un 10%, porcentaje que se
reduce hasta el 2% en caso contrario.
La versatilidad de este “i-worm” complica en cierta medida el
tipo de advertencias que desde el Laboratorio de Hispasec
acostumbramos a compartir con nuestros lectores, pero, sea como
fuere, la regla de oro a seguir a rajatabla para no ser afectado
por un espécimen del género es siempre la misma: desconfiar
por sistema de todo fichero adjunto no solicitado, aun si el
remitente del mensaje portador es un usuario de plena confianza.
talvanti@hispasec.com
Más información:
AVP
http://www.avp.ch/avpve/worms/email/sysid.stm
Network Associates
http://vil.nai.com/villib/dispvirus.asp?virus_k=98781
Symantec
http://www.sarc.com/avcenter/venc/data/w32.sysid.worm.html
Deja un comentario