«Anaphylaxis«, bautizado como «Anap» por el CARO, nos llega por e-mail en forma de fichero adjunto, con el nombre SETUP.EXE, lo cual puede inducir a muchos usuarios a ejecutar la aplicación infectada por el i-worm. A partir de este momento, «Anaphylaxis» procede a activar sus rutinas de búsqueda exahustiva a través de ficheros temporales de Windows y de archivos ubicados en la carpeta «Mis Documentos», siempre que tengan formato HTML, con el fin de acaparar el mayor número posible de direcciones de correo electrónico, para así enviar sus copias por medio de un motor SMTP incorporado en el código del i-worm.
El remitente de los mensajes portadores de la aplicación madre es generado automáticamente a partir de un nombre de pila, una inicial seguida de un punto y un apellido, siempre ingleses, así como la dirección de procedencia, siendo los siguientes los candidatos a ser elegidos:
Nombres:
Jhon Mark Bill Frank Sam Eva Carla Joan Jean Sophie
Iniciales:
M. C. T. R.
Apellidos:
Smith Woodruf Brown Steel Driver Seldon Forge Stab McAndrew Gregor
Direcciones:
support@microsoft.com
support@netscape.com
support@pc.ibm.com
support@ibm.com
support@intel.com
Como tema del mensaje, el i-worm emplea de manera invariable la palabra inglesa «Patch«, y el contenido se limita a un simple «This is the patch you asked for.«. Al ser ejecutado el presunto parche, «Anaphylaxis» trata de disuadir al usuario por medio del siguiente cuadro de di logo, haci’ndole creer, de una manera similar a la empleada por su paisano «Cholera», que el fichero no ha llegado entero a nuestro ordenador:
Setup Integrity check failed due to: bad data transmision or bad disk access.
Adem s de este mensaje, el d¡a 5 de cada mes el i-worm tambi’n se delata por medio de su propio texto de activaci¢n, que nos avisa de la posible presencia no s¢lo del propio «Anaphylaxis«, sino de algon virus oportunista, lo que nos vuelve a recordar al ya conocido y comentado «Cholera», con el que tambi’n guarda cierta similitud en cuanto a su difusi¢n por medio de rutinas propias de SMTP:
i-worm.Anaphylaxis coded by Bumblebee/29a.
This is an i-worm. Don’t worry, this is not a virus. But may occur the worm has been infected by a virus during its travel and both arrived to your computer.
The way of the bee
Desde HispaSec nos aventuramos, a partir de las caracter¡sticas de este i-worm, a vaticinar que no ser f cil llegar a verlo en ninguna «wildlist», principalmente por el hecho de que s¢lo se activa cuando el usuario ejecuta la aplicaci¢n infectada, algo que, en circunstanicas normales, es muy probable que se efectoe sin conexi¢n a la red y, tras comprobar que el ejecutable, s¢lo en teor¡a, no funciona correctamente, ‘ste sea enviado de manera fulminante a la papelera de reciclaje, sin m s ocasi¢n de volver a enviarse por Internet. Por otra parte, y afortunadamente, cada d¡a que pasa los usuarios est n m s alerta acerca del peligro que entra_a correr programas recibidos por e-mail sin previa solicitud, por lo que es de esperar que no sean muchos quienes conf¡en en un nombre an¢nimo que les ofrece un parche que, en ningon caso, han solicitado, hecho aon m s destacable al poder comprobar que el e-mail no viene firmado y que algunos de los nombres y apellidos generados por el i-worm presentan anomal¡as tales como estar mal escritos (Jhon) o ser inventados.
En cualquier caso, una vez m s ponemos al servicio de nuestros suscriptores la posibilidad de comunicarnos cualquier tipo de incidencia relacionada con este o cualquier otro virus o i-worm, con el fin de erradicar con la mayor rapidez posible la futura expansi¢n del agente infeccioso en cuesti¢n y as¡ poder alertar al resto de nuestros suscriptores, teniendo siempre presente que la mejor defensa ante estos ataques es la informaci¢n, con el fin de poner en pr ctica la prevenci¢n activa.
M s informaci¢n:
AVP
http://www.avp.ch/avpve/worms/anap.stm
Giorgio Talvanti
talvanti@hispasec.com
