Uno de los «i-worms» más destacados de las últimas semanas ha sido, sin lugar a dudas, «Sonic», de probable origen francés. El patógeno forma parte de un reducido pero cada vez más abundante grupo de especímenes de índole vírica capaces de autoactualizar su código por medio de Internet, siguiendo así el camino marcado ya el pasado año por el virus «Babylonia».
Sin embargo, el método empleado por «Sonic» presenta una serie de originales y peligrosas innovaciones con respecto a los virus de características similares conocidos hasta el momento: en lugar de instalar su código principal en el sistema y luego ir añadiendo al mismo pequeños componentes extra o «plug-ins», este gusano ofrece un punto de vista alternativo.
El espécimen, que se reproduce por medio de mensajes de correo electrónico vacíos, con la frase «Choose your poison» (elige tu veneno) como asunto y un fichero adjunto llamado «girls.exe», está compuesto por dos módulos: un cargador, que es el que viaja en los e-mails que «Sonic» env¡a, y un portador del c¢digo principal, que es el que contiene las rutinas necesarias para la reproducci¢n del pat¢geno por medio de Internet.
El cargador, de una longitud aproximada de 25 kilobytes, tras haber sido comprimido con UPX, tiene por misi¢n instalarse en el sistema sin levantar las sospechas del usuario, y, posteriormente, descargar de una p gina web el m¢dulo portador. As¡, una vez ejecutado, el programa procede a mostrar un mensaje de error:
u:Ubicaci¢ngirls.exe n¡est pas une application Win32 valide.
Donde "u:Ubicaci¢n" es la especificaci¢n correcta del directorio desde el que est siendo ejecutado el cargador. Mientras tanto, el "i-worm" habr ya procedido a colocar una copia de su c¢digo en la carpeta de sistema, bajo el nombre "GDI32.EXE" (que no debe ser en ningon caso confundido con "GDI.EXE" o "GDI32.DLL", ficheros ambos leg¡timos de Windows); tras este paso, "Sonic" pasa a incluir una nueva entrada en el registro de configuraciones, en:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
El prop¢sito de esta operaci¢n consiste en la necesidad del gusano de asegurarse su residencia en memoria despu's de cada arranque del sistema, ya que su trabajo lo desempe_a como un proceso oculto que nunca se llega a cerrar, hasta que la sesi¢n actual de Windows llega a su fin. El motivo no es otro que la monitorizaci¢n permanente de las conexiones a Internet: el cargador debe buscar en la Red a su media naranja, el portador del c¢digo principal de "Sonic".
Para esto, el programa se conecta con un servidor web, por medio del puerto est ndar para este tipo de comunicaciones, el 80, y obtiene un fichero llamado "LASTVERSION.TXT", que contiene un nomero formado por dos d¡gitos, empleado para representar la oltima versi¢n del gusano que se encuentre disponible; en caso de ser m s reciente que la ya existente en el sistema, el m¢dulo cargador proceder entonces a descargar otros dos ficheros del mismo servidor: "GATEWAY.ZIP", que contiene una versi¢n actualizada del propio cargador, y "xx.ZIP", donde "xx" es el nomero especificado en "LASTVERSION.TXT", que se corresponde al oltimo m¢dulo portador disponible.
De esta ingeniosa forma, el autor del gusano se puede permitir el lujo de efectuar cualquier cambio en el c¢digo de su creaci¢n, algo que hasta el momento, a otros espec¡menes similares, les resultaba imposible, pues eran capaces tan s¢lo de a_adir m¢dulos de c¢digo adicionales al "malware" principal. As¡, una vez instalado el m¢dulo portador de "Sonic", de unos 40 kilobytes de longitud (tambi'n comprimidos con UPX), 'ste procede a efectuar una autocopia en el directorio de sistema, como "GDI32A.EXE", tras lo cual accede a la libreta de direcciones del usuario infectado y, por medio del cliente de correo electr¢nico Microsoft Outlook, env¡a e-mails a cada una de las entradas existentes, independientemente de cu ntas sean, a las que adjunta la versi¢n m s reciente del m¢dulo cargador.
Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=761
