ICECUBES, 

© Jorge Machado  Lima-Perú

Icecubes o Cubos de Hielo es un gusano de reciente difusión que se propaga a través de un archivo anexado de nombre ICECUBES.EXE de 18k de extensión, que al infectar se auto-instala en el sistema y oculta su actividad utilizando numerosas cajas de diálogo que "configuran" los cubos de hielo de Windows.

Icecubes ha sido desarrollado por el grupo de autores de virus denominado F0revir:

http://www.coderz.net (es periódicamente clausurado pero vuelve a aparecer en otro servidor)

Estas son las pantallas que este gusano presenta:

Barra de búsqueda del gusano Icecubes.

Tabla de configuración de Icecubes de Windows.

Al instalarse, el gusano se auto-copia en el sub-directorio del Windows System con el nombre de WSOCK2.DLL, . no con el nombre de WSOCK32.DLL, ni WSOCK2.VXD, e infecta el WSOCK32.DLL original, escribiendo su código al final de este archivo. Esta librería es por lo general bloqueada contra escritura por el propio Windows, pero Icecubes, emplea una rutina que consiste en copiar ese archivo con el nombre de WSOCK32.INF, inmediatamente infecta su copia y escribe un comando de "renombre" al archivo WININIT.INI, el cual en su momento reemplazará al WSOCK32.DLL original, ya infectado, la próxima vez que se inicie Windows. 

El código viral de este gusano en el WSOCK32.DLL infectado, se engancha a la función "send" y monitorea toda la información que es enviada por correo electrónico. Cuando se envía un mensaje, Icecubes lo duplica con un segundo mensaje que contiene un archivo anexado denominado ICECUBES.EXE con este contenido:

Subject: Windows Icecubes !
Text:

I almost forgot. Look at what I found on the web. This tool scans your system for hidden Windows settings, better known as -Windows Icecubes-. These secret settings were built in by the Windows programmers. I think you might want to change them a little, just take a look ! :)

Yo casi lo olvidé. Miren lo que encontré en la web. Esta herramienta busca su sistema por configuraciones ocultas de Windows, mas conocidas como -Windows Icecubes-. Estas configuraciones secretas fueron desarrolladas por los programadores de Windows. Pienso que tú deberías cambiarlas un poco, simplemente dale una mirada ! :)

El gusano también guarda los nombres de los logins y passwords en un archivo denominado ICECUBE.TXT en el directorio de Windows.

El 1o de Julio el gusano muestra el siguiente mensaje:

W9x.Icecubes / f0re [lz0]

Windows detected icecubes on your harddrive.
This may cause the system to stop responding.
Do you want Windows to remove all icecubes ?

W9x.Icecubes / f0re [lz0]

Windows detectó icecubes en su disco duro.
Esto puede ocasionar que el sistema deje de responder.
Desea que Windows remueva todos los icecubes ?

PER ANTIVIRUS® con registro de virus al 20 de Noviembre del 2000, detecta y elimina eficientemente este virus y reconstruye el WSOCK32.DLL

Ir al menú anterior

Regresar al Portal de PER SYSTEMS