El fenómeno «pokémon» no conoce límites. Su interminable serie de proteicas adaptaciones, que lo han llevado a quioscos, grandes almacenes y pantallas de consolas y televisión, ha acabado por dar recientemente con el entrañable protagonista de la serie, «Pikachu», introduciéndose en forma de gusano de Internet («i-worm») en un significativo número de ordenadores.
Se trata de un espécimen de unos 32 kilobytes de longitud, programado en Visual Basic 6. Si bien su expansión hasta el momento no ha adquirido carices alarmantes, no deja de resultar sorprendente el hecho de que haya llegado a adquirir cierta notoriedad en libertad («in the wild») a pesar de depender de la presencia del cliente de correo Microsoft Outlook y de las librerías del lenguaje en que fue programado para ser capaz de funcionar en sistemas foráneos.
La única explicación aparente puede radicar en la efervescencia del propio fenómeno «pokemaníaco», que puede haberse convertido en el vehículo y envoltorio ideales para un pat¢geno que no pasar a los anales de la programaci¢n de virus inform ticos por sus caracter¡sticas t’cnicas ni por su originalidad. Desde diversas compa_¡as antivirus se ha llegado a especular con la posibilidad de que los propios usuarios afectados por «Pikachu» hayan sido quienes se hayan encargado de difundir el gusano inconscientemente entre sus contactos m s allegados, acelerando el proceso expansivo con su interacci¢n.
El gusano no ofrece particularidad alguna frente a los dem s espec¡menes de su g’nero: se presenta en nuevos ordenadores en forma de fichero adjunto a un mensaje de correo electr¢nico enviado desde una m quina infectada y, tras ser ejecutado, instala una copia de su c¢digo en el sistema y busca direcciones de e-mail de nuevas v¡ctimas a las que enviarse.
Los mensajes portadores presentan el siguiente aspecto:
Remitente: (usuario infectado)
Destinatario: (futurible v¡ctima)
Asunto: Pikachu Pokemon
Cuerpo del mensaje:
Great Friend!
Pikachu from Pokemon Theme have some friendly words to say.
Visit Pikachu at http://www.pikachu.com
See you.
En un oltimo intento de llamar la atenci¢n de los destinatarios, el autor de «Pikachu» no olvid¢ insertar como icono por defecto del fichero adjunto, PIKACHUPOKEMON.EXE, la cara de la popular mascota protagonista que presta su nombre a este «i-worm», as¡ como su propia imagen: si finalmente el receptor del mensaje se decide a ejecutar la copia portadora del c¢digo maligno, aparecer en la pantalla de su ordenador un cuadro de di logo con un dibujo del «pok’mon» m s conocido, acompa_ado del siguiente texto:
Between millions of people around the world i found you. Don’t forget to remember this day every time MY FRIEND!
Visit us at http://www.pikachu.com
Por divertido que pueda parecer, se trata de un pat¢geno poco agradable: tras haber sido activado por el usuario, se autoenv¡a a todas las cuentas almacenadas en la libreta de direcciones del usuario, e inserta comandos en el fichero AUTOEXEC.BAT con el fin de borrar todos los ficheros de los directorios del sistema (Windows y WindowsSystem, por defecto) cuando se produzca el siguiente reinicio del ordenador afectado. A pesar de lo peligrosa que pueda parecer, la activaci¢n ha sido implementada de una forma un tanto inocente, resultando que el sistema advertir al usuario y le ofrecer la posibilidad de cancelar la acci¢n antes de que ‘sta tenga efecto.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=687
M s informaci¢n:
AVP
http://www.avp.ch/avpve/worms/email/pikachu.stm
CAi
http://www.cai.com/virusinfo/encyclopedia/descriptions/pikachu.htm
NAi
http://vil.nai.com/vil/dispVirus.asp?virus_k=98696
Panda Software
http://www.pandasoftware.es/enciclopedia/gusano/IWormPikachu_1.htm
Sophos
http://www.sophos.com/virusinfo/analyses/w32pikachua.html
Symantec
http://www.symantec.com/avcenter/venc/data/w32.pokey.worm.html
Trend Micro
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=TROJ_POKEY.A
Giorgio Talvanti
talvanti@hispasec.com
http://www.hispasec.com
