Hace apenas unas horas salía a la luz la aparición de un nuevo i-worm de factura española, bajo el nombre de «Haiku». Se trata de un gusano capaz de autoenviarse a decenas de direcciones de correo electrónico en tan penas unos segundos, haciéndose pasar por un generador aleatorio de «haikus».
Este i-worm viaja en forma de fichero, con una letra china por icono, adjunto a un mensaje mediante el cual se explican, en inglés, las características básicas de los «haikus», pequeños poemas de tradición japonesa que pretenden plasmar por medio de pocas palabras un momento concreto de percepción de algún fenómeno de la naturaleza. El tema del e-mail es «Fw: Compose your own haikus!», haciendo pensar al usuario que lo recibe que se trata de un «forward» de un mensaje original que le ha sido redireccionado:
«Old pond…
a frog leaps in
water’s sound.»
Matsuo Basho.
DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?
Haiku is a small poetry with oriental metric that appeared in the XVI century and is being very popular, mainly in Japan and the USA.
It’s done to transcend the limitation imposed by the usual language and the linear/scientific thinking that treat the nature and the human being as a machine.
It usually has 3 lines and 17 syllables distributed in 5, 7 and 5. It must register or indicate a moment, sensation, impression or drama of a specific fact of nature. It’s almost like a photo of some specific moment of nature.
More than inspiration, what you need in order to compose a real haiku is meditation, effort and perception.
DO YOU WANT TO COMPOSE YOUR OWN HAIKUS?
Now you can! it is very easy to get started in this old poetry art. Attached to this e-mail you will find a copy of a simple haiku generator. It will help you in order to understand the basics of the metric, rhyme and subjects which should be used when composing a real haiku… just check it out! it’s freeware and you can use and spread it as long as you want!
Instalaci¢n
En caso de ejecutar el fichero adjunto, llamado «Haiku.exe», el i-worm proceder¡a a instalarse, copi ndose al directorio de Windows con el nombre «HaikuG.exe» y registr ndose como una aplicaci¢n de autoarranque en WIN.INI o en el registro de configuraciones (en Windows9x o WindowsNT, respectivamente), con el fin de ser ejecutado autom ticamente en los siguientes inicios de sesi¢n de Windows.
Tras esto, que tiene lugar en apenas d’cimas de segundo y de manera transparente al usuario, el gusano genera un «haiku» de manera aleatoria y se lo muestra al usuario por medio de un cuadro de di logo. El i-worm genera dichos «haikus» a partir de una serie de listas de palabras, de las que dispone de modo ordenado, en funci¢n de una serie de categor¡as gramaticales, completando un diccionario de un total de 175 vocablos, los cuales ordena a partir de una serie de «esquemas» prefijados, que son los que determinan la composici¢n y la longitud de cada uno de los tres versos de cada «haiku». Sorprendentemente, los resultados que se llegan a obtener a partir del generador de «haikus» de este i-worm no s¢lo no suelen ser descabellados, sino que, en muchas ocasiones, pueden presumir de gozar de bastante coherencia po’tica.
Es importante rese_ar que, merced a esta habilidad, «Haiku» se convierte en el segundo i-worm -junto con «Happy99»- que realmente funciona como el usuario espera, en contraposici¢n con el resto de gusanos, que suelen prometer una serie de funciones que posteriormente aciertan a resolver mediante un falso mensaje de error. Este simple hecho podr¡a llegar a aumentar sensiblemente la capacidad de expansi¢n potencial de «Haiku», al poder llegar a darse la posibilidad de encontrarlo en grupos de noticias o en p ginas webs de aficionados a esta disciplina po’tica, publicado por usuarios ajenos al peligro que realmente supone la ejecuci¢n de este i-worm.
Expansi¢n
La segunda parte del ciclo vital de «Haiku» empieza desde el momento en que el usuario ha reiniciado su ordenador, hecho que aprovecha el i-worm para activarse de manera permanente en memoria. Mediante el uso de una API indocumentada, este gusano es capaz de ocultar su presencia de la lista de tareas, haciendo imposible su detecci¢n a simple vista.
De este modo, «Haiku» est en condiciones de hacer un chequeo cada minuto en busca de la presencia del programa RNAAPP.EXE en memoria, o lo que es lo mismo, una sesi¢n de Internet por medio del «Acceso telef¢nico a redes». Llegado a este punto, el i-worm deja un intervalo de un minuto y medio de espera (probablemente para evitar ejecutarse mientras el usuario aon se est conectando a Internet), periodo de tiempo tras el cual procede a efectuar una bosqueda exhaustiva de direcciones de correo electr¢nico a partir de todos los ficheros con extensi¢n DOC, EML, HTM, HTML, RTF y TXT almacenados en la carpeta de documentos por defecto del usuario infectado.
Tras esto, el gusano est en condiciones de conectar, usando el puerto 25, con la direcci¢n 194.106.68.104 (correspondiente a smtp.melita.net, un servidor de env¡o de correo de un ISP de procedencia maltesa), a trav’s del cual procede a enviarse a todas las direcciones de e-mail encontradas. De nuevo, el i-worm nos sorprende con una novedad: en lugar de enviar un mensaje para cada destinatario, «Haiku» env¡a un solo e-mail para todas sus posibles v¡ctimas, borrando posteriormente toda huella en las cabeceras del mensaje, y haciendo creer a cada uno de los receptores que se trata de un e-mail de un onico destinatario. Mediante esta curiosa t’cnica, este gusano es capaz de haberse enviado en menos de medio minuto a varios cientos de direcciones de correo electr¢nico, lo cual aumenta aon m s si cabe el peligro que representa para los usuarios de ordenador con acceso a Internet.
El motor SMTP de «Haiku» es el encargado de llevar esto a cabo, pero su labor no termina aqu¡. El gusano adem s se encarga de obtener el nombre del usuario con el que est registrada la copia activa de Windows, con el fin de ganar enteros a la hora de obtener la confianza del destinatario final. Ya por oltimo, este proceso de env¡o se cierra tras haber adjuntado una copia del gusano codificada en BASE64 con cabeceras MIME, un formato soportado por todos los clientes de correo electr¢nico.
Activaci¢n
En una posibilidad entre diecis’is, «Haiku» pone en marcha su activaci¢n o «payload», que, afortunadamente, no contiene ningon tipo de carga da_ina. El i-worm se conecta por el puerto 80, el destinado a servicios web, al servidor members.xoom.com, del que procede a descargar el archivo /haiku_wav/Haiku.wav al directorio ra¡z del disco duro del usuario. Este fichero de sonido contiene una breve melod¡a oriental, la cual el gusano reproduce, momento tras el cual pasa a mostrar un cuadro de di logo al usuario:
[ I-Worm.Haiku, by Mister Sandman ]
Did you know
The smallest box may hold
The biggest treasure?
Bajo una estructura de «haiku», el i-worm se manifiesta por medio de un mensaje empapado de tintes filos¢ficos orientales, acompa_ados por el mensaje de «copyright» de su autor, el ya legendario Mister Sandman, miembro fundador del conocido grupo de escritores de virus 29A, y que aparentemente se encontraba apartado de la escena v¡rica desde la distribuci¢n de «Girigat», su oltima creaci¢n v¡rica hasta la fecha.
Desinstalaci¢n
Un oltimo dato positivo con respecto a este i-worm: al igual que el ya analizado «Cholera» del tambi’n creador de virus espa_ol GriYo, el i-worm «Haiku», tras haberse enviado de manera satisfactoria por e-mail a todas las direcciones de correo electr¢nico encontradas, procede a desinstalarse del sistema, dejando como onico resquicio el ejecutable llamado «HaikuG.exe» en el directorio de Windows del usuario, algo probablemente deliberadamente «descuidado», con el fin de evitar de que el i-worm vuelva a entrar en actividad en caso de que el usuario ejecute de nuevo el generador de «haikus» original, dado el hecho de que, al detectar la presencia de una copia ya existente, el gusano no volver¡a a instalarse.
Advertencia
Como siempre, desde HispaSec hacemos llegar a todos nuestros lectores, y en particular a los suscriptores del servicio de «una-al-d¡a», nuestra intenci¢n de colaboraci¢n, no s¢lo en una campa_a constante de concienciaci¢n, sino tambi’n en una intervenci¢n activa en pro de la desinfecci¢n de aquellos usuarios que hayan sido v¡ctimas de un ataque v¡rico.
A pesar de que este i-worm todav¡a no ha sido encontrado «in the wild», existe la posibilidad, debido a su m s que reciente descubrimiento, de que aparezcan casos aislados -o bien focos concentrados en determinadas reas geogr ficas- de infecci¢n.
Por ello, instamos una vez m s a la gente que deposita su confianza en nosotros d¡a a d¡a a que no duden en hacernos part¡cipes de cualquier indicio, sospecha, o ataque directo en relaci¢n a este i-worm, con el fin de que podamos avisar de manera puntual a las compa_¡as antivirus m s relevantes acerca de las posibles incidencias que se puedan derivar de la aparici¢n de este nuevo agente infeccioso.
M s informaci¢n:
Computer Associates, Inc.
http://www.cai.com/virusinfo/virusalert.htm#haiku
Network Associates, Inc.
http://vil.nai.com/vil/MPI98485.asp
Panda Software
http://www.pandasoftware.es/vernoticia.asp?noticia=607&idioma=1
Sophos
http://www.sophos.com/virusinfo/articles/haiku.html
Symantec
http://www.sarc.com/avcenter/venc/data/w95.haiku.16384.worm.html
Giorgio Talvanti
talvanti@hispasec.com
Bernardo Quintero
bernardo@hispasec.com
