No hace demasiado tiempo analizábamos en esta misma sección las características de dos innovadores i-worms: «BubbleBoy», de origen argentino, y, más recientemente, el español «Plage2000». Ahora ha llegado el turno de «Unicle» y «WinExt», las respectivas segundas generaciones de sus predecesores, esperando que, por una vez, no sea bueno el dicho de que «no hay dos sin tres».
Desde China nos ha llegado el primero, «Unicle», que, por suerte, no es capaz de funcionar en versiones de Windows distintas a las de su país de origen. Este dato, unido al bajo porcentaje de usuarios chinos con acceso a Internet debido a las restricciones gubernamentales, nos hace vaticinar que, afortunadamente, este i-worm, a pesar de la intrinsecidad de su peligro, tiene pocos argumentos a su favor para acabar apareciendo «in the wild».
Parece tratarse de un i-worm en fase experimental que, de un modo u otro, ha caído en manos de las compañías antivirus. Al menos eso es lo que se puede deducir a partir de una serie de rutinas que parecen haber sido implementadas para llevar a cabo una serie de funciones que finalmente no es posible encontrar en «Unicle».
Aspectualmente podr¡amos decir que se trata de un calco del ya c’lebre «BubbleBoy»: busca la carpeta «Inicio» y crea en la misma una copia de su c¢digo en formato HTA, con el fin de ser ejecutado autom ticamente en los siguientes arranques de la m quina infectada. La parte aparentemente experimental empieza en el momento en que este i-worm busca un servidor SMTP en el registro de configuraciones del usuario, para luego no usarlo en ningon momento, y, sobre todo, cuando se conecta a un FTP, del que intenta descargar un fichero autoextra¡ble, MSIE.EXE, del que extrae sus contenidos y ejecuta precisamente uno de los archivos resultantes, EXPLORER.EXE, sin ulteriores consecuencias de cara a la integridad de los datos del usuario infectado.
Por su parte, le toca esta vez a Francia ser el pa¡s de origen de un curioso i-worm que inevitablemente nos recuerda a otro esp’cimen ya comentado por medio de este servicio, «Plage2000», que desde hace unas semanas ha sido declarado «in the wild» por diversas compa_¡as antivirus. Se trata de «WinExt», un gusano que se instala en los ordenadores infectados en el directorio de sistema de Windows con el nombre WINEXT.EXE, y que es capaz de responder los mensajes no le¡dos del usuario por medio de rutinas MAPI. Todas las respuestas incluyen el prefijo «Re: » delante del asunto de cada e-mail, y llevan como texto una de cuatro posibles alternativas:
1) Hi, (destinatario)
[…Mensaje original…]
See You Soon
2) Salut (destinatario),
[…Mensaje original…]
A+.
3) […Mensaje original…]
A bientot.
4) […Mensaje original…]
J’ai bien re u ton message,
je m’en occupe rapidement.
En attendant, regardes le fichier joint.
Todas ellas, por supuesto, aparecen siempre acompa_adas de una copia del i-worm, que «viaja» con el nombre TRYIT.EXE. Por si esto fuese poco, «WinExt» tiene ciertas capacidades de «puerta trasera», por medio de las cuales admite comandos remotos que permiten borrar mensajes o desinstalar el i-worm del sistema, hecho que, en cualquier caso, tiene lugar de manera puntual en el mes de agosto. Vemos as¡ c¢mo un i-worm m s se sube al carro de los espec¡menes que, como «Cholera» o «Haiku», se desinstalan de las m quinas infectadas tras haber conclu¡do su trabajo.
Como nota anecd¢tica, quedar¡a por comentar la activaci¢n de «WinExt», que tiene lugar aproximadamente veinte d¡as antes de autodestru¡rse: el gusano env¡a, entre una serie de posibles textos, una felicitaci¢n de cumplea_os a la direcci¢n de correo electr¢nico «nathalie.paget@francetelecom.fr», firmada por el presunto nombre real del autor del i-worm, «Loutine».
M s informaci¢n:
«Unicle» (AVP)
http://www.avp.ch/avpve/worms/unicle.stm
«WinExt» (AVP)/b>
http://www.avp.ch/avpve/worms/winext.stm
Giorgio Talvanti
talvanti@hispasec.com
