La semana pasada llegaba al laboratorio de Hispasec «Icecubes», uno
de los gusanos de Internet más originales que se han descubierto
hasta el momento; mediante un brillante truco de ingeniería social,
este espécimen se hace pasar por un programa encargado de buscar en
el sistema un nuevo tipo de datos secretos, los «icecubes» (cubos
de hielo).
Se trata de un «i-worm» de una longitud aproximada de 18 kilobytes,
programado en lenguaje ensamblador, que se presenta en forma de
fichero adjunto a mensajes de correo electrónico con la frase
«Windows Icecubes !» como asunto, y el siguiente texto como cuerpo:

I almost forgot. Look at what I found on the web. This tool scans
your system for hidden Windows settings, better known as -Windows
Icecubes-. These secret settings were built in by the Windows
programmers. I think you might want to change them a little, just
take a look ! 🙂

De esta forma, el autor de «Icecubes» inventa el concepto de los
«cubos de hielo», que, supuestamente, son una serie de registros
ocultos, creados por los programadores de Windows para condicionar
el comportamiento del sistema operativo. Una vez ejecutado el
fichero adjunto, «ICECUBES.EXE», es posible descubrir más acerca
de esta divertida invención; el gusano, para distraer la atención
del usuario mientras se instala en su ordenador, simula buscar en
el sistema todos los «cubos de hielo» existentes y, una vez que
la pantomima ha terminado, muestra el siguiente cuadro de diálogo:

[ Windows Icecubes ]

Manufacturer´s default settings (not to be edited)

Endurance options

[X] Crash every (2) (days)
[X] Crash after (5000) bytes of un-saved changes

Save options

[X] Create incredibly large files
[ ] Allow me to carry on typing during AutoRecovery saves
Fail AutoRecovery at (17) percent

Other options

[X] Decrease boot speed by 70%
Annoy me with that sodding paperclip
( ) constantly
(X) when i less expect it

[ Ok ] [ Cancel ]

Por su parte, la instalación del gusano en el sistema es similar a
la de «Happy99» en cuanto al procedimiento empleado: se copia al
directorio de sistema como WSOCK2.DLL, intenta infectar el original
de la librería de funciones de Internet (WSOCK32.DLL) y, en caso de
estar en uso, crea una copia con el nombre WSOCK32.INF, la infecta,
y crea un comando en el fichero WININIT.INI para reemplazar la DLL
original con el INF portador del código maligno en el siguiente
arranque del sistema.

El funcionamiento del gusano es también muy semejante a «Happy99»
cuando, al monitorizar todos los datos enviados por medio de la
Red (con la función «send»), espera a que el usuario infectado
envíe un mensaje de correo electrónico, tras lo cual el espécimen
procede a usar las mismas cabeceras enviadas al servidor SMTP
correspondiente, con el fin de generar un e-mail extra que dirigir
al mismo destinatario, portando el mensaje específico y adjuntando
una copia del código maligno, codificada en base64 con cabeceras de
tipo MIME (el estándar más común en Internet).

Asimismo, «Icecubes» es capaz de monitorizar nombres de usuario y
contraseñas enviadas durante las sesiones de Internet, grabando
todos los datos en el fichero «ICECUBES.TXT», que se encuentra en
el directorio de Windows, si bien en ningún momento llega a enviar
o publicar este archivo a ninguna dirección de correo electrónico
por medio de la Red.

Por último, el gusano muestra el siguiente mensaje el día 1 de
julio de cada año:

[ W9x.Icecubes / f0re [lz0] ]

Windows detected icecubes on your harddrive.
This may cause the system to stop responding.
Do you want Windows to remove all icecubes ?

Giorgio Talvanti
talvanti@hispasec.com

Más información:

I-Worm.Icecubes
http://www.avp.ch/avpve/worms/email/icecubes.stm

W32/IceCube@M

http://vil.nai.com/vil/dispVirus.asp?virus_k=98902

TROJ_ICECUBES.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ICECUBES.A

Compártelo: