La semana pasada llegaba al laboratorio de Hispasec «Icecubes», uno de los gusanos de Internet más originales que se han descubierto hasta el momento; mediante un brillante truco de ingeniería social, este espécimen se hace pasar por un programa encargado de buscar en el sistema un nuevo tipo de datos secretos, los «icecubes» (cubos de hielo).
Se trata de un «i-worm» de una longitud aproximada de 18 kilobytes, programado en lenguaje ensamblador, que se presenta en forma de fichero adjunto a mensajes de correo electrónico con la frase «Windows Icecubes !» como asunto, y el siguiente texto como cuerpo:
I almost forgot. Look at what I found on the web. This tool scans your system for hidden Windows settings, better known as -Windows Icecubes-. These secret settings were built in by the Windows programmers. I think you might want to change them a little, just take a look ! 🙂
De esta forma, el autor de «Icecubes» inventa el concepto de los «cubos de hielo», que, supuestamente, son una serie de registros ocultos, creados por los programadores de Windows para condicionar el comportamiento del sistema operativo. Una vez ejecutado el fichero adjunto, «ICECUBES.EXE», es posible descubrir m s acerca de esta divertida invenci¢n; el gusano, para distraer la atenci¢n del usuario mientras se instala en su ordenador, simula buscar en el sistema todos los «cubos de hielo» existentes y, una vez que la pantomima ha terminado, muestra el siguiente cuadro de di logo:
[ Windows Icecubes ]
Manufacturer¡s default settings (not to be edited)
Endurance options
[X] Crash every (2) (days)
[X] Crash after (5000) bytes of un-saved changes
Save options
[X] Create incredibly large files
[ ] Allow me to carry on typing during AutoRecovery saves
Fail AutoRecovery at (17) percent
Other options
[X] Decrease boot speed by 70%
Annoy me with that sodding paperclip
( ) constantly
(X) when i less expect it
[ Ok ] [ Cancel ]
Por su parte, la instalaci¢n del gusano en el sistema es similar a la de «Happy99» en cuanto al procedimiento empleado: se copia al directorio de sistema como WSOCK2.DLL, intenta infectar el original de la librer¡a de funciones de Internet (WSOCK32.DLL) y, en caso de estar en uso, crea una copia con el nombre WSOCK32.INF, la infecta, y crea un comando en el fichero WININIT.INI para reemplazar la DLL original con el INF portador del c¢digo maligno en el siguiente arranque del sistema.
El funcionamiento del gusano es tambi’n muy semejante a «Happy99» cuando, al monitorizar todos los datos enviados por medio de la Red (con la funci¢n «send»), espera a que el usuario infectado env¡e un mensaje de correo electr¢nico, tras lo cual el esp’cimen procede a usar las mismas cabeceras enviadas al servidor SMTP correspondiente, con el fin de generar un e-mail extra que dirigir al mismo destinatario, portando el mensaje espec¡fico y adjuntando una copia del c¢digo maligno, codificada en base64 con cabeceras de tipo MIME (el est ndar m s comon en Internet).
Asimismo, «Icecubes» es capaz de monitorizar nombres de usuario y contrase_as enviadas durante las sesiones de Internet, grabando todos los datos en el fichero «ICECUBES.TXT», que se encuentra en el directorio de Windows, si bien en ningon momento llega a enviar o publicar este archivo a ninguna direcci¢n de correo electr¢nico por medio de la Red.
Por oltimo, el gusano muestra el siguiente mensaje el d¡a 1 de julio de cada a_o:
[ W9x.Icecubes / f0re [lz0] ]
Windows detected icecubes on your harddrive.
This may cause the system to stop responding.
Do you want Windows to remove all icecubes ?
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=769
M s informaci¢n:
I-Worm.Icecubes
http://www.avp.ch/avpve/worms/email/icecubes.stm
W32/IceCube@M
http://vil.nai.com/vil/dispVirus.asp?virus_k=98902
TROJ_ICECUBES.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ICECUBES.A
Giorgio Talvanti
talvanti@hispasec.com
http://www.hispasec.com
