En realidad, hablar de una segunda versión, hasta de un «remake», resultaría, además de atrevido, incorrecto. Y es que parece ser que el encargado de rebautizar este i-worm se declara, de uno u otro modo, fan de las películas de Austin Powers. En cualquier caso, la denominación «MiniZip», en detrimento de «ZippedFiles», seguido del número de bytes de la nueva versión, ha cuajado entre los responsables de las compañías antivirus y los diversos medios de comunicación que han hecho eco de la irrupción de este i-worm en miles de ordenadores de la red.
La única pero importante diferencia entre las dos versiones de «ZippedFiles» radica en la innovación que ha supuesto la adición de una rutina de autocompresión basada en el algoritmo NeoLite, que reduce el tamaño del i-worm a una longitud total de 120495 bytes, unos 90 kilbytes menos que la versión original del programa portador. A pesar de que los demás aspectos de este espécimen han sido conservados tal cual, el simple hecho de haber introducido una rutina de autocompresi¢n permite al i-worm «reempezar» de cero, ya que ningon producto antivirus es capaz de detectar a «MiniZip», al darse la circunstancia de que las cadenas empleadas a tal efecto han cambiado de forma y de posici¢n dentro de los portadores v¡ricos, algo que ha favorecido un rebrote de infecciones a partir de un agente infeccioso ya identificado.
As¡ pues, aprovechamos para recordar a nuestros lectores cu les eran los rasgos m s caracter¡sticos y significativos del hermano mayor de «MiniZip», con el fin de evitar que puedan llegar a infectarse con esta nueva variante de «ZippedFiles». En primer lugar, hay que destacar que «MiniZip» llega a nuestro ordenador en forma de fichero adjunto, llamado «zipped_files.exe» (siempre representado por un icono que nos hace pensar que se trata de un fichero ZIP), acompa_ando a un e-mail cuyo contenido es:
Una vez m s, instamos a nuestros lectores a extremar todo tipo de precauciones con respecto a la ejecuci¢n de ficheros adjuntos no solicitados, aunque ‘stos hayan sido presuntamente enviados por una persona en la que tengan m xima confianza. Es imposible saber con certeza si un usuario est infectado, y los primeros afectados a ra¡z de una m quina contagiada son, en este caso, las personas con las que el propietario de dicha m quina mantiene o ha mantenido algon tipo de conversaci¢n por medio de correo electr¢nico en los oltimos meses.
M s informaci¢n (compa_¡as antivirus)
————————————-
Symantec
http://www.sarc.com/avcenter/venc/data/worm.explorezip.pack.html
NAi
http://vil.nai.com/vil/vpe10450.asp
DataFellows
http://www.datafellows.com/news/1999/19991201.htm
AVP
http://www.kasperskylab.ru/eng/news/press/991201.html
TrendMicro
http://www.antivirus.com/vinfo/security/sa113099.htm
Panda Software
http://www.pandasoftware.es/vernoticia.asp?noticia=500&idioma=1
Sophos
http://www.sophos.com/explorezipb.html
M s informaci¢n (medios de comunicaci¢n)
—————————————-
MSNBC
http://www.msnbc.com/news/341096.asp
IDG
http://idg.net/idgns/1999/12/01/IsMiniZipWormingItsWayThrough.shtml
InfoWorld
http://www.infoworld.com/cgi-bin/displayStory.pl?991130.icminizip.htm
USA Today
http://www.usatoday.com/life/cyber/tech/ctg781.htm
Wired
http://www.wired.com/news/technology/0,1282,32824,00.html
Giorgio Talvanti
talvanti@hispasec.com
HispaSec
