De acuerdo con Eugene Kaspersky, de AVP, se trata de un i-worm de origen ruso o ex-soviético, hecho que se ha podido comprobar a partir de la versión del Word con la que fue generado el DOC que sirve de vehículo a «Suppl» y que ha sido enviado a varios grupos de noticias este mismo mes.
«Suppl» llega a nuestros buzones por medio de e-mails junto a los que aparece, en forma de fichero adjunto, como «SUPPL.DOC», de donde se ha tomado su nombre. Cuando este documento es abierto tiene lugar la ejecución automática de su única macro, denominada «Document_Open». Por medio de esta macro, «Suppl» crea una copia del documento, con el nombre «ANTHRAX.INI», en el directorio de Windows, junto con una DLL contenida en el fichero DOC infectado y previamente comprimida con el método LZH.
Modificando el fichero WININIT.INI, el i-worm consigue que sea el propio Windows el que renombre esta DLL como WSOCK32.dll, conservando el módulo original como WSOCK33.dll. De este modo, «Suppl» consigue tener acceso total a los servicios de red, de manera que podr monitorizar las actividades necesarias para as¡ enviarse a otros ordenadores por e-mail.
Al igual que otros i-worms, como «Happy99» o «Fix2001», nuestro protagonista s¢lo se interesa por las APIs «connect» y «send», suficientes para saber cu ndo se conecta el propietario de la m quina infectada a la red y cu ndo se est n enviando datos a otros usuarios por correo electr¢nico, ocasi¢n que aprovecha «Suppl» para adjuntar un nuevo documento infectado y as¡ cerrar su ciclo reproductor, que, afortunadamente, no afecta a quienes trabajen con WindowsNT.
A pesar de que hasta este punto todo parezca estar en orden y que no hayamos comentado ninguna caracter¡stica que lo hiciese de una manera u otra especial con respecto a los i-worms que conocemos por ahora, «Suppl» tiene una sorpresa preparada para los usuarios afectados, y es que, antes de despedirse de una m quina infectada, este i-worm borra todos los ficheros con extensi¢n ARJ, DBF, DOC, RAR, RTF, TXT, XLS y ZIP de aquellos ordenadores accesibles, ya sea de manera local o remota. Si bien se trata de una activaci¢n similar a la que hemos visto en el i-worm «ZippedFiles», es necesario hacer eco del peligro que entra_a para aquellos usuarios afectados por «Suppl» en un plazo inferior a siete d¡as, ya que aon se encuentran a tiempo de salvar su informaci¢n por medio de software antivirus.
M s informaci¢n:
AVPVE:
http://www.avp.ch/avpve/worms/suppl.stm
DataFellows:
http://www.datafellows.com/v-descs/suppl.htm
NAi:
http://vil.nai.com/vil/vm10361.asp
Sophos:
http://www.sophos.com/downloads/ide/index.html#suppl
Symantec:
http://www.sarc.com/avcenter/venc/data/w97m.suppl.html
Trend:
http://www.antivirus.com/vinfo/security/sa092199.htm
Giorgio Talvanti
