|
Pero la revolución en el mundo vírico llegó de la mano de Hybris, este gusano (sí, de nuevo un gusano) dio todo un giro en la historia de los virus. El funcionamiento básico de este "i-worm" recuerda al de «Happy99», en cuanto a que, tras haber sido ejecutado por el usuario, procede a instalarse en el sistema modificando WSOCK32.DLL, la librería de comunicaciones por Internet empleada por Windows, con el fin de poder enganchar las funciones "connect", "recv" y "send", por medio de las cuales el gusano es capaz de monitorizar las acciones claves que están teniendo lugar en cada conexión a la Red.
Por si esto fuera poco, "Hybris" además modifica la porción de código de carga inicial de esta librería con su propio código, tras lo cual cifra el fragmento original, para dificultar sobremanera -incluso convertir en una decisión arriesgada- su desinfección.
Como suele suceder, en caso de que el fichero WSOCK32.DLL esté en memoria, activo, el «malware» no será capaz de modificarlo, por lo que procederá a efectuar una copia del mismo. Para ello empleará un nombre generado de manera aleatoria, e incluirá una instrucción para poder renombrarlo en el archivo WININIT.INI que llevará a cabo esta tarea en el siguiente inicio de sesión del sistema operativo afectado.
A este respecto es importante comentar que, asimismo, "Hybris" crea una entrada en el registro de configuraciones del usuario por medio de la cual ejecuta la copia del código maligno tras el siguiente arranque, una operación aparentemente redundante cuyo única causa sería, aparentemente, la necesidad que tiene el gusano de asegurarse de que la
sustitución de WSOCK32.DLL se hace efectiva.
A partir del momento en que la librería infectada es cargada en la memoria del ordenador, el patógeno pasa a controlar absolutamente todas las comunicaciones que tienen lugar por medio de Internet, a partir de las cuales es capaz de interceptar nuevas direcciones de correo electrónico a las que enviar copias de sí mismo. Hasta el momento se han detectado numerosas posibilidades en torno al aspecto de los e-mails portadores; las más populares son las enviadas por el remitente «Hahaha», que contienen un breve fragmento en alusión al cuento de Blancanieves, traducido a portugués, español, inglés o francés, emparejado con un asunto fijo y cuatro posibles nombres de fichero adjunto para cada una, y con referencias de tipo pornográfico:
En español el mensaje tiene las siguientes características:
Asunto: Enanito si, pero con que pedazo!
Posibles adjuntos: enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe
Texto:
Faltaba apenas un dia para su aniversario de de 18 años. Blanca de Nieve
fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron
una *grande* sorpresa para su fiesta de compleaños. Al entardecer,
llegaron. Tenian un brillo incomun en los ojos...
|
