Si bien es cierto que el nuevo milenio no empieza hasta el día 1 de enero del 2001, ya que no existió el año 0, parece que ya resulta imposible convencer al gran porcentaje de la población mundial que recibe el nuevo año con gran euforia pensando que se trata de la llegada de un nuevo siglo… y milenio, de forma análoga al proceso que se vivió en Europa ante la llegada del año 1000. Y de la misma manera, salvando las diferencias, vemos cómo son ahora los escritores de virus los encargados de cometer ciertas fechorías, aprovechándose de la confusión de la gente.
Mientras que en la Edad Media se trató de la creencia de que se acercaba el fin del mundo, actualmente el problema del milenio se centra en la actualización de aquellos sistemas que no son compatibles con una numeración anual de cuatro dígitos, cuestión que lleva dando mucho que hablar, con especial intensidad, como es lógico, en los últimos meses. Sea lo que sea, la confusión vuelve a reinar, mil años después.
Hay quienes se han dado prisa y, aprovechando el auge de la difusi¢n de los llamados parches «Y2K», han camuflado c¢digo maligno de distinta ¡ndole con el fin de expandir su creaci¢n a lo largo de Internet. Los casos m s recientes, y casi por consiguiente los m s sonados, son «Fix2001» y «Count2K», un i-worm y un caballo de Troya respectivamente, que han saltado en pocos d¡as a las secciones de alerta de la mayor¡a de las compa_¡as antivirus de mayor relevancia a nivel internacional.
El primero es un i-worm de caracter¡sticas muy similares al ya famoso «Happy99»: llega a nuestros buzones en forma de «attach», acompa_ando a un mensaje en ingl’s y en espa_ol, presuntamente proviniente de Microsoft, y una vez ejecutado crea un «dropper» en el directorio de Windows para ejecutarse en cada arranque de la m quina, tras haber modificado el registro del sistema y mostrar al usuario un mensaje falso, haci’ndole creer que su sistema no necesita ser actualizado para la llegada del 2000. A partir de este punto, el i-worm engancha las funciones «connect» y «send» del m¢dulo WSOCK32.dll, por medio de las cuales, una vez que el usuario se ha conectado a Internet, intercepta los datos recibidos y se env¡a por e-mail a las cuentas de correo procesadas durante la conexi¢n. La desinfecci¢n de este i-worm, de procedencia aparentemente argentina, ha de ser muy cautelosa, ya que «Fix2001» chequea su integridad y, en caso de detectar alguna anomal¡a, procede a sobreescribir COMMAND.COM con un troyano que, en el siguiente arranque, borrar todos los datos de la unidad activa.
El troyano «Count2K» no es menos peligroso, si bien no borra informaci¢n del disco duro. El efecto es el contrario, ya que el prop¢sito de este troyano es, como el de otros, robar los datos de conexi¢n a Internet del usuario afectado. Este agente infeccioso se expande por medio de un e-mail, nuevamente en teor¡a enviado por Microsoft, en forma de fichero adjunto, de un tama_o sensiblemente superior al de «Fix2001» (120k frente a 12k). Una vez ejecutado, el troyano muestra un mensaje de error de CRC mientras se autoexpande en un EXE y cinco DATs, que r pidamente cambian de nombre, extensi¢n y ubicaci¢n, para trasladarse directos a la carpeta de Windows y sustitu¡r al conocido m¢dulo WSOCK32.dll. El troyano se instala a_adiendo uno de sus ficheros al WIN.INI como «driver» del sistema, de manera que en el siguiente arranque estar activo y listo para monitorizar cualquier conexi¢n a Internet y enviar los datos de acceso a Internet (RAS) del usuario a su autor.
En HispaSec estamos seguros de que estos dos espec¡menes son probablemente los primeros, pero no ser n los oltimos… aon quedan m s de tres meses para la llegada del 2000, y lo onico que cabe pensar es que lo peor est por venir. Desde nuestro laboratorio, la recomendaci¢n m s b sica que podemos difundir entre nuestros lectores es tan simple como no ejecutar por norma ninguna aplicaci¢n adjunta a e-mails, a no ser que se haya solicitado expl¡citamente de algon conocido, y siempre manteniendo especial atenci¢n a todo lo que presuntamente nos llegue por parte de Microsoft.
M s informaci¢n:
AVPVE: http://www.avp.ch/avpve/worms/fix2k.stm
NAi : http://vil.nai.com/vil/tro10358.asp (Count2K)
NAi : http://vil.nai.com/vil/vpe10355.asp (Fix2001)
Por Giorgio Talvanti
NOTICIAS HISPASEC
