Desde la aparición de «Happy99», el primer «i-worm» conocido, ya hace
casi dos años, este género de «malware» ha evolucionado rápidamente,
y ha llegado a convertirse en la mayor amenaza para el usuario final,
debido a la versatilidad reproductiva que caracteriza a la práctica
totalidad de los especímenes que lo integran. Sin embargo, también
existe un hueco para la originalidad y la innovación: es el caso de
«Energy», un gusano de laboratorio muy peculiar, pero con escasas
posibilidades de llegar a encontrarse «en libertad» (`in the wild´).
La causa que evidencia la baja probabilidad de llegar a dar con el
gusano «Energy» en un ordenador infectado es precisamente su gran y
más importante característica: la innovadora capacidad que tiene de
introducirse en archivos comprimidos de tipo RAR, sin que el usuario
que los está mandando se percate de ello. Además hay que sumar otro
importante factor a sus limitaciones de expansión, ya que «Energy»
está diseñado para ejecutarse como un servicio NT, restringiendo su
campo de acción a sistemas Windows NT y 2000.
El funcionamiento del patógeno es sencillo: una persona envía a otra
un mensaje de correo electrónico, al que adjunta una serie de datos,
comprimidos en formato RAR. Uno de los ficheros presentes dentro de
ese archivo será «SETUP.EXE», el programa portador del código maligno
de «Energy», que ha sido insertado por el propio gusano.
Una vez ejecutado, suponiendo que haya llamado la atención de quien
haya recibido el documento RAR y se haya decidido a explorar su
contenido, el espécimen crea una copia de su código y la ubica en
el directorio de sistema, con el nombre «ENERGY.EXE», registrándola
como servicio de Windows, con el fin de permanecer residente en la
RAM, sin levantar sospechas.
Instalado en memoria, «Energy» busca procesos activos que empleen
alguna de las funciones de la librería MAPI (empleada para enviar
datos por medio de correo electrónico) y, en caso de encontrarlos,
se copia a ellos para interceptar las llamadas a «MAPISendMail», el
servicio empleado por aplicaciones tales como clientes de e-mail
para enviar mensajes por medio de Internet.
Tras haber completado este paso, el patógeno queda a la espera del
envío por parte del usuario infectado de algún fichero adjunto de
formato RAR, circunstancia que desencadenaría la activación final o
reproductora de este «i-worm», que pasaría a insertar una nueva
copia de su código, bajo el nombre «SETUP.EXE», con el fin de cerrar
su ciclo de expansión en la Red. Sin embargo, debido al predominio
del empleo del formato ZIP en detrimento del RAR por parte de una
inmensa mayoría de usuarios en Internet, cabe pensar que Benny, el
autor de origen checo, perteneciente al grupo de escritores de virus
29A, ha pretendido hacer de «Energy» un gusano de laboratorio, con
el fin de demostrar la posible aplicación de la técnica de inserción
de agentes infecciosos dentro de ficheros comprimidos.
talvanti@hispasec.com
Más información:
I-Worm.Energy
http://www.avp.ch/avpve/worms/email/energy.stm
WNT.Energy.worm
http://www.symantec.com/avcenter/venc/data/wnt.energy.worm.html
TROJ_ENERGY.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ENERGY.A
Deja un comentario