La última amenaza vírica conocida hasta el momento son los i-worms (internet worms). A pesar de su corta historia, han conseguido consolidarse como uno de los medios de contagio más peligrosos, debido al modo en que trabajan.

CÓMO FUNCIONA UN I-WORM

Los i-worm están a medio camino entre los gusanos y los virus: de los primeros han tomado su técnica de propagación (a través de redes), y de los segundos, la capacidad de modificar ficheros para llevar a cabo su cometido.

Se trata de programas que llegan al ordenador de forma de fichero adjunto a un e-mail y que, de uno u otra manera, intenetan llamar la atención para ser ejecutados. A partir de este punto puede dar la circunstancia de que el programa se ejecute tal y como se espera (como el caso del Happy99, con su efecto gráfico de fuegos artificiales); sin embargo, con mayor frecuencia, se obtendrá un mensaje falso de error (como sucede con otros i-worms, tales como ZippedFiles, Cholera. NewApt o Anaphylaxis).

EL ORIGEN

El primer i-worm conocido es el Happy99. Fue distribuido en enero de 1999 y llegó a miles de usuarios por e-mail bajo la inofensiva apariencia de un programa que mostraba fuegos artificiales en pantalla, celebrando la llegada del nuevo año. Desde entonces, son más de 10 los i-worm detectados que han provocado miles de infecciones en varios países en un plazo inferior a una semana a partir de su fecha inicial de propagación.

De ahí que este nuevo fenómeno vírico haya cobrado tanta relevancia, si bien es cierto que los i-worms son tan peligrosos como fáciles de evitar.

SE PUEDEN PREVENIR?

Para evitar el contagio, basta con seguir una regla de oro: No ejecutar nunca ficheros adjuntos no solicitados en mensajes recibidos por correo o por medio de cualquier grupo de noticias, aún a pesar de confiar plenamente en el remitente.

Muchos i-worms emplean el nombre del usuario infectado para enviarse a destinatarios con los que éste mantiene correspondencia. Otros optan por rescatar una cantidad ingente de direcciones de correo electrónico a partir de la carpeta de documetnos o de la libreta de direcciones de sus víctimas, y se limitan a efectuar un envío masivo a sus cuentas de correo, suplantando la propia personalidad del usuario o, en ocasiones, haciéndose pasar por técnicos de Microsoft.

Una forma de detertar los envíos de este tipo es colocar en la cabecera de nuestra lista de direcciones una falsa. por ejemplo 000, de modo que cuando se reenvíe el i-worm, el servidor de correo nos mande un mensaje de error en el envío. De este modo, podemos avisar a nuestros contactos de que pueden ser víctimas de un i-worm que se ha instalado en nuestro ordenador, a la vez que nos indica que estamos infectados.

UN I-WORM EN EL ORDENADOR

Pero, qué sucede realmente en el ordenador cuando se introduce un i-worm? Para comprenderlo mejor, se puede estudiar, paso por paso, como se comporta el Happy99 desde el momento en que llega a un ordenador hasta que consigue enviarse a otros destinatarios:

1 Disuade al usuario mediante un efecto: abre una ventana en el escritorio, en la que empiezan a aparecer fuegos artificiales. De esta manera, el autor se asegura de que su creación no levantará sospechas, e incluso de que habrá más de un usuario que se apresurará a enviar este programa a aquellos amigos o familiares que dispongan de ordenador.

2 Efectúa una copia propia, con el fin de conocer con certeza su ubicación, ya que los ficheros adjuntos son almacenados en distintos directorios, dependiendo del cliente de correo o incluso de la configuración personal de cada usuario. Copiándose en una ubicación determinada, que en este caso es el directorio de sistema de windows. el i-worm sabe exactamente dónde se encuentra.

3 Crea su propia DLL, es decir, un módulo de código que contiene una serie de funciones exportables y descargables, al alcance de cualquier programa. En este caso, se trata del corpus principal del i-worm, que contiene las rutinas necesarias para propagarse por medio de internet.

4 Localiza WSOCK32.dll. Éste es el nombre del módulo del sistema encargado de llevar a cabo todas las funciones relacionadas con internet, tales como la conexión a una dirección cualquiera o el envío y la recepción de datos. Su ubicación es fácil, ya que siempre se encuentra en el directorio de sistema de windows, la misma carpeta en la que Happy99 ha colocado una copia de su código.

5 Modifica WSOCK32.dll, no sin antes efectuar una copia de seguridad del mismo. Se trata de un detalle de gentileza por parte del autor de este i-worm, con el fin de facilitar al usuario su desinfección. Las modificaciones en este fichero van encaminadas a obtener las cabeceras de los mensajes que el usuario está enviando (remitente, destinatarios), y generar nuevos e-mails en blanco, que llevarán como fichero adjunto una copia de Happy99; la copia que éste había depositado previamente en el directorio de sistema de windows.