Desde la aparición de «Happy99», el primer «i-worm» conocido, ya hace casi dos años, este género de «malware» ha evolucionado rápidamente, y ha llegado a convertirse en la mayor amenaza para el usuario final, debido a la versatilidad reproductiva que caracteriza a la práctica totalidad de los especímenes que lo integran. Sin embargo, también existe un hueco para la originalidad y la innovación: es el caso de «Energy», un gusano de laboratorio muy peculiar, pero con escasas posibilidades de llegar a encontrarse «en libertad» (`in the wild¦).
La causa que evidencia la baja probabilidad de llegar a dar con el gusano «Energy» en un ordenador infectado es precisamente su gran y más importante característica: la innovadora capacidad que tiene de introducirse en archivos comprimidos de tipo RAR, sin que el usuario que los está mandando se percate de ello. Además hay que sumar otro importante factor a sus limitaciones de expansión, ya que «Energy» está diseñado para ejecutarse como un servicio NT, restringiendo su campo de acci¢n a sistemas Windows NT y 2000.
El funcionamiento del pat¢geno es sencillo: una persona env¡a a otra un mensaje de correo electr¢nico, al que adjunta una serie de datos, comprimidos en formato RAR. Uno de los ficheros presentes dentro de ese archivo ser «SETUP.EXE», el programa portador del c¢digo maligno de «Energy», que ha sido insertado por el propio gusano.
Una vez ejecutado, suponiendo que haya llamado la atenci¢n de quien haya recibido el documento RAR y se haya decidido a explorar su contenido, el esp’cimen crea una copia de su c¢digo y la ubica en el directorio de sistema, con el nombre «ENERGY.EXE», registr ndola como servicio de Windows, con el fin de permanecer residente en la RAM, sin levantar sospechas.
Instalado en memoria, «Energy» busca procesos activos que empleen alguna de las funciones de la librer¡a MAPI (empleada para enviar datos por medio de correo electr¢nico) y, en caso de encontrarlos, se copia a ellos para interceptar las llamadas a «MAPISendMail», el servicio empleado por aplicaciones tales como clientes de e-mail para enviar mensajes por medio de Internet.
Tras haber completado este paso, el pat¢geno queda a la espera del env¡o por parte del usuario infectado de algon fichero adjunto de formato RAR, circunstancia que desencadenar¡a la activaci¢n final o reproductora de este «i-worm», que pasar¡a a insertar una nueva copia de su c¢digo, bajo el nombre «SETUP.EXE», con el fin de cerrar su ciclo de expansi¢n en la Red. Sin embargo, debido al predominio del empleo del formato ZIP en detrimento del RAR por parte de una inmensa mayor¡a de usuarios en Internet, cabe pensar que Benny, el autor de origen checo, perteneciente al grupo de escritores de virus 29A, ha pretendido hacer de «Energy» un gusano de laboratorio, con el fin de demostrar la posible aplicaci¢n de la t’cnica de inserci¢n de agentes infecciosos dentro de ficheros comprimidos.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=771
M s informaci¢n:
I-Worm.Energy
http://www.avp.ch/avpve/worms/email/energy.stm
WNT.Energy.worm
http://www.symantec.com/avcenter/venc/data/wnt.energy.worm.html
TROJ_ENERGY.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ENERGY.A
Giorgio Talvanti
talvanti@hispasec.com
http://www.hispasec.com
