Según ha tenido ocasión de saber el laboratorio de Hispasec en las últimas horas, se han encontrado indicios de actividad en libertad (¦in-the-wild¦) de «Sysid», un gusano de probable origen asiático que introduce conceptos tan innovadores como peligrosos en el abanico de posibilidades de la programación de «i-worms».
Se trata de un espécimen programado en Delphi, de formato PE (¦Portable Executable¦, ejecutable de Win32), que alcanza los 200 kilobytes de longitud tras haber sido procesado por medio del conocido compresor Aspack, reduciendo los casi 400 originales.
El gusano se presenta adjunto a un mensaje de correo electrónico procedente de un usuario conocido, bajo uno de los cien nombres posibles de los que se vale para camuflarse, entre los que cabría destacar «Tools.exe», «Phone.exe», «Office98fix.exe», «Joke.exe», «WinAmp.exe», «MyResume.exe», «BallGame.exe», «PlayBoy.exe», «Click Me.exe», «Sex Picture.exe» o «MP3.exe» – juegos, programas relacionados con MP3, sexo, curr¡culums… Los m s recurrentes temas son empleados como armas a favor de «Sysid» para conseguir despertar la atenci¢n de sus futuribles v¡ctimas.
Los e-mails portadores se caracterizan, asimismo, por la ausencia de texto en el cuerpo del mensaje y por la existencia de otros tres ficheros adjuntos: un fichero de extensi¢n DOC, JP(E)G o XLS seleccionado al azar de la carpeta de Documentos del usuario infectado, y dos mensajes cualesquiera extra¡dos de la carpeta «Elementos enviados» del conocido cliente de correo MS Outlook, sin cuya presencia el gusano «Sysid» es incapaz de funcionar. De esa misma carpeta es de donde, de igual forma, es elegido el tema o asunto de los e-mails que finalmente ser n enviados desde los ordenadores infectados, incrementando as¡ la credibilidad por parte de los futuros destinatarios.
Una vez ejecutado, el fichero hu’sped que alberga el c¢digo del gusano muestra una ventana en pantalla con el t¡tulo «Personal ID Generator», un par de botones de radio para elegir el sexo de la persona que ejecuta la aplicaci¢n, y un bot¢n de salida de la misma. Se trata de un programa escrito en codificaci¢n china tradicional y de escasa utilidad, cuyo onico prop¢sito consiste en distraer la atenci¢n de los destinatarios de «Sysid» mientras el gusano se instala en el sistema operativo.
Y es precisamente su etapa de instalaci¢n en donde encontramos una nueva particularidad in’dita en otros pat¢genos del g’nero hasta el momento: tras haber efectuado una copia del c¢digo del programa portador a los directorios por defecto de Windows y de Sistema bajo el nombre «SYSID.EXE», el gusano crea una nueva llave en el registro de configuraciones de la m quina local, con el fin de ser ejecutado en cada arranque:
HKLM Software Microsoft Windows CurrentVersion Run WindowsVersion = «sysid»
La aportaci¢n novedosa que efectoa este esp’cimen consiste en lo que en virolog¡a inform tica se conoce como des/activaci¢n «on the fly», o, lo que es lo mismo, el «malware» esconde todo indicio de su presencia en cada momento susceptible de poder ser examinado por el usuario o por algon producto antivirus. En el caso de «Sysid», el gusano activa la llave anteriormente descrita s¢lo en el momento en que detecta que la sesi¢n activa de Windows est siendo cerrada, y la borra tan pronto como es ejecutado en el siguiente arranque y su presencia en memoria est ya garantizada, asegur ndose de esta forma de no poder ser ni descubierto ni desactivado, a menos que el usuario conozca en detalle las caracter¡sticas del pat¢geno y se decida a borrar los ficheros semilla, instalados en los directorios del sistema.
Completado el proceso de instalaci¢n, la fase final necesaria para cerrar el ciclo vital de «Sysid» es la expansi¢n. Para esto el gusano se vale de un peque_o programa escrito en VBS (Visual Basic Script), que crea en el directorio por defecto de Windows bajo el nombre «WINVER.VBS». La funci¢n de ‘ste consiste en obtener de forma aleatoria entradas de la libreta de direcciones del usuario afectado, en un nomero dependiente a la cantidad de cuentas que hayan sido a_adidas a la misma; as¡, si el nomero es menor de 200, «Sysid» seleccionar un 10%, porcentaje que se reduce hasta el 2% en caso contrario.
La versatilidad de este «i-worm» complica en cierta medida el tipo de advertencias que desde el Laboratorio de Hispasec acostumbramos a compartir con nuestros lectores, pero, sea como fuere, la regla de oro a seguir a rajatabla para no ser afectado por un esp’cimen del g’nero es siempre la misma: desconfiar por sistema de todo fichero adjunto no solicitado, aun si el remitente del mensaje portador es un usuario de plena confianza.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=670
M s informaci¢n:
AVP
http://www.avp.ch/avpve/worms/email/sysid.stm
Symantec
http://www.sarc.com/avcenter/venc/data/w32.sysid.worm.html
Giorgio Talvanti
talvanti@hispasec.com
http://www.hispasec.com
