Hace apenas unas horas el laboratorio de Hispasec ha tenido la ocasión de analizar un nuevo i-worm de origen español, similar a «I love you» en cuanto a su funcionamiento, capaz de enviar mensajes por medio del protocolo SMS a móviles de la conocida compañía española de telefonía «MoviStar».
Los gusanos programados en Visual Basic Script (VBS) están de moda. Tras la fulgurante irrupción de «I love you» y todas sus mutaciones hace tan solo unas semanas, en esta ocasión España sirve de cuna para un i-worm de cuya actividad «in the wild», afortunadamente, todavía no se tiene noticia.
Se trata de un patógeno de menos de 12 kilobytes de longitud, programado en VBS, capaz de autoenviar copias suyas por medio de correo electrónico a todas las cuentas almacenadas en la libreta de direcciones del usuario; lejos de conformarse con esto, «Timofónica» manda mensajes cortos a teléfonos móviles escogidos al azar y, por último, concluye su actividad en los ordenadores afectados instalando un caballo de Troya que, al siguiente arranque, borra los datos de la CMOS y formatea el disco duro de tal manera que no se pueden recuperar los datos perdidos por medio de ninguna aplicaci¢n espec¡fica.
¨He estado aqu¡?
Por medio de esta pregunta, en un c¢digo fuente ¡ntegramente escrito en espa_ol, «Timof¢nica» cuestiona la posibilidad de estar ya presente en el sistema. Durante su instalaci¢n en un nuevo ordenador, el gusano crea la siguiente llave en el registro de configuraciones, a la que atribuye valor «1»:
HKCUSoftwareMicrosoftWindowsCurrentVersionTimofonica
Por tanto, «Timof¢nica» se limita a buscar la presencia de esa llave y, en caso afirmativo, da por hecho que no es necesario volver a instalarse en el sistema, por lo que aborta de manera inmediata su ejecuci¢n y devuelve el control a Windows.
Los amantes de los «trucos de la abuela» en el campo de la inform tica sabr n apreciar, sin duda, la ventaja que supone a_adir manualmente la llave que el virus crea en el registro de configuraciones al instalarse, con el fin de tener una garant¡a de prevenci¢n total, aun si se incurre en el error de hacer doble clic sobre un fichero portador.
La adecuaci¢n al sistema
Una vez que «Timof¢nica» se ha asegurado de no coincidir con copias propias anteriormente instaladas, el siguiente proceso consiste en asentarse en su nuevo h bitat. Para ello, el i-worm lleva a cabo los siguientes pasos:
a) Inscripci¢n de su marca de autoidentificaci¢n en el registro de configuraciones: con el fin de evitar, como se ha explicado en el ep¡grafe anterior, instalaciones por duplicado, que acabar¡an por delatar su presencia.
b) Modificaci¢n de las preferencias de Outlook: inicialmente con la intenci¢n de evitar que queden copias de aquellos e-mails que el gusano difunde, en la bandeja de elementos enviados del conocido cliente de correo electr¢nico. Esta caracter¡stica s¢lo funciona en las m quinas que dispongan de la versi¢n 9.0 de Microsoft Office.
c) Pre-ejecuci¢n de su troyano: aprovechando el momento de efectuar altas y/o modificaciones en el registro de configuraciones, «Timof¢nica» prepara el terreno para el caballo de Troya que porta embebido en el interior de su c¢digo y, por medio de la siguiente llave, asegura su ejecuci¢n en el pr¢ximo arranque del sistema:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunCmos,Cmos.com
d) Copia del c¢digo maligno a un fichero: para conocer de una manera precisa su ubicaci¢n en el sistema, «Timof¢nica» crea el archivo «TIMOFONICA.TXT.vbs» en el directorio ra¡z de los ordenadores afectados. +ste es el portador directo del c¢digo del gusano, que ser enviado por correo a sus nuevos destinatarios.
e) Creaci¢n de un fichero de texto: tambi’n en el directorio ra¡z, con el nombre de «TIMOFONICA.TXT», el i-worm escribe esta carta de protesta contra Telef¢nica:
Comentarios
Tarifa plana de 6000 pts/mes.
Extorsi¢n.
A principio de 1.998 tras un seguimiento de su gesti¢n se descubrieron numerosas irregularidades en su gesti¢n, amparadas hasta el momento, en el desconocimiento que nosotros ten¡amos sobre Internet. Compras de materiales, que nunca apareci¢ por ningon lado, pero si la factura del proveedor.
….
Yo pienso que si Timofonica (ke a fin de kuentas es la due_a de Terra) kiere soltar dineros para una ONG, no le hace falta hacer este tipo de acto solidario, es mas, me parece misero y ridikula la kantidad de un millon de pesetas ..
Son unos ridikulos de mierda, un millon de pesetas para ellos no es nada, pero un millon de hits en sus paginas mas a final de mes supone una peke_a subidita en las acciones de Terra en Bolsa. Total, ke Terra no son las Hermanitas de los Pobres (pobres monjas, kompararlas kon los chupasangres de Timofonica), NI NOSOTROS SEMOS GILIPOLLAS !!!
Podran decir ke estamos obsesionados, ke tamos en kontra de Timofonika, ke protestamos por vicio, PERO ES KE EN 3 A½OS KE LLEVO EN INET SOLO LA HAN KAGADO UNA VEZ TRAS OTRA !! SI ES KE SE LO GANAN A PULSO !!
Lo dicho , todo lo ke g_ele a Telefonica SUX, o en castellano tradicional , APESTA !
…. Direcciones
http://www.telefonica.es/
http://www.timofonica.com/
http://100scripts.islaweb.com/scripting-timofonica.html
http://www.www2.labrujula.net/wwwboard/messages2/1165.html
http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
http://area3d.area66.com/forotec/_disc1/0000015b.htm
http://wwh.itgo.com/Phreaking.htm
http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
http://www.areas.org/debate/dp/2/messages/18.html
http://www.fut.es/mllistes/parlem/January_1999/msg00208.html
Visita estas p ginas. Est s inivitado.
f) Gestaci¢n del caballo de Troya: el penoltimo paso en el proceso de instalaci¢n de «Timof¢nica» consiste en crear el fichero «Cmos.com» en el directorio de sistema de Windows. Este troyano, un fichero de tipo COM para DOS de 689 bytes de longitud (515 de los cuales, curiosamente, est n «vac¡os» y carecen de utilidad alguna) consta de una sucesi¢n de bucles por medio de los cuales borra los datos de la CMOS y formatea el disco duro de la m quina afectada, v¡a int 13h.
g) Camuflaje de los ficheros .VBS: por oltimo, «Timof¢nica» se asegura de pasar desapercibido durante las siguientes ejecuciones mediante un ingenioso truco, consistente en asociar la activaci¢n de los archivos de c¢digo Visual Basic Script con la apertura del fichero «TIMOFONICA.TXT», de tal manera que cada vez que el usuario se disponga a correr un ejecutable de extensi¢n .VBS se abrir el «Bloc de notas» de Windows, mostrando el texto reivindicativo reproducido de manera ¡ntegra en el punto «e».
La expansi¢n
El ciclo vital de este i-worm no pod¡a quedar completado sin el elemento fundamental en sus compa_eros de especie, la autorreproducci¢n por medio de Internet. Para llevar este proceso a cabo, «Timof¢nica» se vale de los tradicionales m’todos que es posible observar en otros espec¡menes de su g’nero: abre la libreta de direcciones del usuario y, de modo iterativo, procede a enviarse a cada una de las entradas disponibles, independientemente de la cantidad de ellas que hayan sido almacenadas, algo que puede llevar a este gusano a ser capaz de enviarse a cientos de ordenadores en apenas unos minutos de conexi¢n a la Red.
Los e-mails enviados por «Timof¢nica» presentan el siguiente aspecto, que deber¡a ser recordado por todos los lectores de Hispasec a la hora de evitar ser afectados por este i-worm:
De : (nombre del usuario infectado)
A : (nombre del destinatario)
Tema : TIMOFONICA
Adjunto: TIMOFONICA.TXT.vbs
Es de todos ya conocido el monopolio de Telef¢nica pero no tan conocido los m’todos que utiliza para llegar hasta este punto. En el documento adjunto existen opiniones, pruebas y direcciones web con m s informaci¢n que demuestran irregularidades en compras de materiales, facturas sin proveedores, stock irreal, etc. Tambi’n habla de las extorsiones y favoritismos a empresarios tanto nacionales como internacionales. Explica tambi’n el por qu’ del fracaso en Holanda y qu’ hizo para adquirir el portal Lycos. En las direcciones web del documento existen temas relacionados para que ech’is un vistazo a los comentarios, informes, documentos, etc. Como comprender’is, esto es muy importante, y os ruego que reenvi’is este correo a vuestros amigos y conocidos.
Dependiendo de la configuraci¢n de cada usuario, en muchas m quinas el fichero adjunto aparecer sin la extensi¢n final «.vbs», de modo que, de no reconocer el icono propio de los archivos de esta extensi¢n, se corre el riesgo de ejecutar el c¢digo maligno pensando que se trata de un simple fichero de texto que contiene la informaci¢n prometida en el cuerpo del mensaje portador.
El env¡o por medio de SMS
La caracter¡stica m s destacable de «Timof¢nica» consiste en su capacidad de enviar mensajes cortos mediante SMS (‘Short Message System’), el conocido protocolo empleado por millones de tel’fonos m¢viles para mandar y recibir texto, en el que pueden viajar desde noticias hasta breves avisos o divertidos dibujos basados en ASCII.
Vali’ndose de lo que en la Red es conocido como t’cnicas de «spamming», el i-worm de origen espa_ol explota la facilidad de los clientes de MoviStar, compa_¡a espa_ola de telefon¡a m¢vil GSM perteneciente a Telef¢nica, de recibir correo electr¢nico en sus terminales por medio de una pasarela, correo.movistar.net, que lleva ya m s de un a_o funcionando.
Mediante ‘sta resulta posible, anteponiendo el nomero de abonado como nombre de usuario, enviar e-mails a abonados de MoviStar, de tal manera que la persona cuyo tel’fono sea 609609609 podr recibir en su m¢vil todos los mensajes que se env¡en a la direcci¢n 609609609@correo.movistar.net.
De esta forma, y por cada destinatario encontrado en la libreta de direcciones del usuario afectado, «Timof¢nica» genera un nomero de tel’fono al azar, al que antepone uno de los prefijos de los abonados de MoviStar (696, 609, 619, 629, 630, 639, 646, 649), y le env¡a un e-mail por medio de SMS con el siguiente aspecto:
De : (nombre del usuario infectado)
A : (nombre del destinatario)
Tema: TIMOFONICA
informa que: Telef¢nica te est enga_ando.
Es importante recalcar que se trata tan solo de un simple mensaje de texto que ni siquiera porta consigo ficheros adjuntos, de modo que aquellos abonados que lo reciban no correr n peligro alguno y podr n borrarlo sin problemas de ninguna ¡ndole, ya que, aparentemente, el onico objetivo del gusano consiste en saturar la pasarela de env¡o de correo electr¢nico a tel’fonos m¢viles de MoviStar, algo que, por el momento, no parece que se haya producido.
Prevenci¢n
Desde Hispasec una vez m s instamos a todos los lectores a tratar con suma cautela y desconfianza la recepci¢n tanto de mensajes de correo electr¢nico de remitentes desconocidos como la de ficheros adjuntos no solicitados, dado el alto ¡ndice de probabilidades de tratarse de algon tipo de programa maligno, ya autorreproductor, ya destructivo, ya de acci¢n combinada, como es el caso de «Timof¢nica», del que, como de costumbre, esperamos no recibir ningon tipo de informe de actividad «in the wild».
M s informaci¢n:
AVP-ES:
http://www.avp-es.com
Giorgio Talvanti
talvanti@hispasec.com
