Gusano simula ser una actualización de Microsoft
Swen o Gibe, nombres con el que ha sido bautizado por las casas antivirus, ha irrumpido con fuerza en las últimas horas.
Hispasec lo sitúa en estos momentos como el gusano con mayores índices de propagación. Entre otras vías de infección, destaca los mensajes que envía simulando proceder de un servicio de Microsoft, donde informa al usuario de que debe instalar el ejecutable que adjunta (el gusano) para proteger su sistema contra las últimas amenazas de seguridad.
Swen está desarrollado en Microsoft Visual C++, tiene un tamaño de 105KB, y afecta a los sistemas Windows. Usuarios, profesionales, y entornos que utilicen otros sistemas operativos, como Linux o Mac OS, están fuera de peligro.
Lo primero que destaca de Swen es el cuidado formato del mensaje donde simula un envío de Microsoft, que sin duda está logrando engañar a muchos usuarios. Desde las direcciones de remite, con nombres como MS Technical Assistance o Microsoft Internet Security Section, hasta el cuerpo del mensaje en formato HTML con el mismo aspecto que la página web de Microsoft, incluido logotipos. El texto también aparece muy cuidado y bien formateado, con referencias a las versiones de Internet Explorer y Outlook Express que supuestamente el parche corrige, así como enlaces a direcciones reales de la web de Microsoft.
Es sin duda este aspecto del gusano lo que está logrando engañar a muchos usuarios, que terminan instalando el ejecutable que adjunta al mensaje creyendo que se trata de un parche oficial de Microsoft, provocando en realidad la infección de sus sistemas.
Desde Hispasec recordamos de nuevo, como norma básica y general, que no se deben ejecutar los archivos adjuntos y, en el caso concreto de Microsoft, que nunca distribuye actualizaciones o parches por e-mail.
Otras técnicas y vías de propagación
Swen también intenta explotar una vieja y conocida vulnerabilidad de Internet Explorer para lograr ejecutarse de forma automática sin necesidad de que el usuario abra el archivo de forma manual. Esta vulnerabilidad (iframe/mime), que data de marzo del 2001, es la misma que aprovechan gusanos como Klez, y se estima que la mayoría de los usuarios no son vulnerables a la misma. De forma que el “éxito” alcanzado por Swen debe achacarse más a los engaños que está provocando su forma de presentarse que a motivos puramente técnicos o de vulnerabilidades concretas.
Otras vías de propagación utilizadas por Swen son el IRC, las redes P2P, los grupos de noticias, y los recursos compartidos.
En el caso del IRC, el gusano modifica el archivo script.ini en los sistemas que cuenten con el popular cliente mIRC. Esta modificación provocará que el usuario infectado envíe automáticamente una copia del gusano a otros usuarios que se encuentren en el mismo canal de IRC a través de DCC.
En cuanto a las redes P2P, Swen intenta localizar en los sistemas la carpeta de archivos compartidos del programa KaZaa (cliente P2P), y realiza varias copias del gusano con distintos nombres simulando ser utilidades, programas de hacking, salvapantallas, etc. Estos archivos, además de los que crea en la carpeta temporal de Windows, pasarán a estar compartidos en la red P2P, y cualquier usuario de la misma puede descargar el gusano creyendo que se trata de un programa legítimo.
La propagación a través de las redes locales la realiza copiándose en las carpetas de inicio de todas las unidades de red mapeadas. El código del gusano también incluye un listado de servidores de news a los que se envía.
Por último, tampoco debemos olvidar que además de los mensajes en los que simula ser una actualización de Microsoft, Swen también se presenta de otras formas por e-mail. Por ejemplo, finge ser un mensaje rechazado por el servidor de correo, tipo:
Remite: Email Delivery Service
Asunto: Returned Response
Cuerpo: Undeliverable mail to [dirección de correo]
Instalación en el sistema
Una vez que se ejecuta el gusano, Swen sigue con sus técnicas de engaño, o Ingeniería Social, y simula la aplicación del parche. Despliega una ventana bajo el título Microsoft Internet Update Pack, pregunta al usuario si desea continuar con la instalación, y a continuación muestra una barra de progresión y aparenta la actualización de diferentes componentes del sistema.
Debajo de todas estas ventanas, de apariencia legítima, el gusano va ejecutando su código malicioso. En primer lugar se copia en la carpeta de Windows con un nombre al azar, y añade una entrada en el registro de Windows para ejecutarse cada vez que se inicie el sistema (en HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun).
Modifica también diversas entradas en el registro de Windows para provocar que el gusano se ejecute en primer lugar cada vez que el usuario intenta ejecutar un archivo con extensión .EXE, .REG, .SCR, .COM, .BAT o .PIF.
Además previene el uso de REGEDIT, en lo que parece un intento de dificultar que el usuario pueda editar el registro para limpiar las modificaciones realizadas por el gusano. Esto lo consigue con la siguiente entrada: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem “DisableRegistryTools” = 01 00 00 00
Para propagarse por e-mail a otros usuarios, el gusano busca direcciones de correo a las que enviarse en los archivos con extensión HT*, .ASP, .EML, .WAB, .DBX y .MBX.
De forma periódica presenta al usuario una ventana que simula ser un error de MAPI32, donde informa al usuario que algunos datos han sido dañados y necesita restaurarlos para poder reconfigurar su cuenta de correo para recibir y enviar mensajes. De nuevo el gusano hace gala de una interfaz muy cuidada, donde solicita entre otros datos la dirección de correo del usuario, nombre de usuario, contraseña y servidores smtp y pop3.
Swen también intenta desactivar todas las protecciones con las que cuente el sistema. Para ello contiene en su código un amplio listado de nombres de procesos que finalizará si encuentra en memoria, la mayoría correspondiente a antivirus, firewalls y otras utilidades de seguridad.
El creador de este gusano también ha querido llevar una estadística del número de sistemas que consigue infectar. Para ello Swen, la primera vez que se ejecuta en un sistema, envía una petición http a un servidor web donde mantiene un contador de visitas.