Según informó el viernes por la tarde Hispasec, se trata del
gusano con mayores índices de propagación en estos momentos. Entre otras vías de
infección, destaca los mensajes que envía simulando proceder de un servicio de
Microsoft, donde informa al usuario de que debe instalar el ejecutable que
adjunta (el gusano) para proteger su sistema contra las últimas amenazas de
seguridad.
Swen está desarrollado en Microsoft Visual C++, tiene un tamaño de 105KB, y
afecta a los sistemas Windows. Usuarios, profesionales, y entornos que utilicen
otros sistemas operativos, como Linux o MacOS, están fuera de peligro. Lo
primero que destaca de Swen --según Hispasec-- es el cuidado formato del mensaje
donde simula un envío de Microsoft, que sin duda está logrando engañar a muchos
usuarios. Desde las direcciones de remite, con nombres como MS Technical
Assistance o Microsoft Internet Security Section, hasta el cuerpo del mensaje en
formato HTML con el mismo aspecto que la página web de Microsoft, incluido
logotipos. El texto también aparece muy cuidado y bien formateado, con
referencias a las versiones deInternet Explorer y Outlook Express que
supuestamente el parchecorrige, así como enlaces a direcciones reales de la web
de Microsoft.
Es sin duda este aspecto del gusano lo que está logrando engañar a muchos
usuarios --agrega esta entidad-- que terminan instalando el ejecutable que
adjunta al mensaje creyendo que se trata de un parche oficial de Microsoft,
provocando en realidad la infección de sus sistemas.
Desde Hispasec se reitera, como norma básica y general frente a los virus
informáticos, que no se deben ejecutar los archivos adjuntos y, en el caso
concreto de Microsoft, que nunca distribuye actualizaciones o parches por
e-mail. Swen también intenta explotar una vieja y conocida vulnerabilidad de
Internet Explorer para lograr ejecutarse de forma automática sin necesidad de
que el usuario abra el archivo de forma manual. Esta vulnerabilidad (iframe/mime),
que data de marzo del 2001, es la misma que aprovechan gusanos como Klez, y se
estima que la mayoría de los usuarios no son vulnerables a la misma. De forma
que el "éxito" alcanzado por Swen debe achacarse más a los engaños que está
provocando su forma de presentarse que a motivos puramente técnicos o de
vulnerabilidades concretas.
Otras vías de propagación utilizadas por Swen son el IRC, las redes P2P, los
grupos de noticias, y los recursos compartidos. En el caso del IRC, el gusano
modifica el archivo script.ini en lossistemas que cuenten con el popular cliente
mIRC. Esta modificaciónprovocará que el usuario infectado envíe automáticamente
una copiadel gusano a otros usuarios que se encuentren en el mismo canal deIRC a
través de DCC.
En cuanto a las redes P2P, Swen intenta localizar en los sistemas la carpeta de
archivos compartidos del programa KaZaa (cliente P2P), y realiza varias copias
del gusano con distintos nombres simulando ser utilidades, programas de hacking,
salvapantallas, etc. Estos archivos, además de los que crea en la carpeta
temporal de Windows, pasarán a estar compartidos en la red P2P, y cualquier
usuario de la misma puede descargar el gusano creyendo que se trata de un
programa legítimo.
La propagación a través de las redes locales la realiza copiándose en las
carpeta de inicio de todas las unidades de red mapeadas. El código del gusano
también incluye un listado de servidores de news a los que se envía.
Por último, además de los mensajes en los que simula ser una actualización de
Microsoft, Swen también se presenta de otras formas por e-mail. Por ejemplo,
finge ser un mensaje rechazado por el servidor de correo, tipo:Remite: Email
Delivery Service Asunto: Returned Response Cuerpo: Undeliverable mail to
ñdirección de correoí
INSTALACION EN EL SISTEMA
Una vez que se ejecuta el gusano, Swen sigue con sus técnicas deengaño, o
Ingenieria Social, y simula la aplicación del parche.Despliega una ventana bajo
el título Microsoft Internet UpdatePack, pregunta al usuario si desea continuar
con la instalación,y a continuación muestra una barra de progresión y aparentala
actualización de diferentes componentes del sistema.
Debajo de toda estas ventanas, de apariencia legítima, el gusanova ejecutando su
código malicioso. En primer lugar se copia enla carpeta de Windows con un nombre
al azar, y añade una entradaen el registro de Windows para ejecutarse cada vez
que se inicieel sistema (en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run).
Modifica también diversas entradas en el registro de Windowspara provocar que el
gusano se ejecute en primer lugar cada vezque el usuario intenta ejecutar un
archivo con extensión .EXE,.REG, .SCR, .COM, .BAT o .PIF. Además previene el uso
de REGEDIT, en lo que parece un intento de dificultar que el usuario pueda
editar el registro para limpiar las modificaciones realizadas por el gusano.
Esto lo consigue con la siguiente entrada:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools" = 01 00 00 00
Para propagarse por e-mail a otros usuarios, el gusano buscadirecciones de
correo a las que enviarse en los archivos conextensión HT?, .ASP, .EML, .WAB, .DBX
y .MBX. De forma periódica presenta al usuario una ventana que simula ser un
error de MAPI32, donde informa al usuario que algunos datos han sido dañados y
necesita restaurarlos para poder reconfigurar su cuenta de correo para recibir y
enviar mensajes. De nuevo el gusano hace gala de una interfaz muy cuidada, donde
solicita entre otros datos la dirección de correo del usuario, nombre de
usuario, contraseña y servidores smtp y pop3.
Swen también intenta desactivar todas las protecciones con las que cuente el
sistema. Para ello contiene en su código un amplio listado de nombres de
procesos que finalizará si encuentra en memoria, la mayoría correspondiente a
antivirus, firewalls y otras utilidades de seguridad.
El creador de este gusano también ha querido llevar una estadística del número
de sistemas que consigue infectar. Para ello Swen, la primera vez que se ejecuta
en un sistema, envía una petición HTTP a un servidor web donde mantiene un
contador de visitas.