Este gusano envía un mensaje con un enlace a una supuesta animación que alude a George W. Bush, actual presidente de los Estados Unidos.

Si el usuario hace clic en la dirección, se descarga el archivo ejecutable malicioso, provocándose la infección y continuándose con la propagación del mismo. El archivo es el gusano propiamente dicho, y en los mensajes detectados hasta ahora es llamado "bush.exe", con unos 122 KB de tamaño.

Hacer referencia a personajes famosos es una técnica de ingeniería social ampliamente utilizada por los creadores de malware. En este caso, el gusano se propaga a través de mensajes en español que incentivan al usuario a pulsar sobre el enlace.

Una vez ejecutado, el malware inicia ventanas de conversaciones con todos los contactos del usuario infectado que estén conectados en ese momento y se envía automáticamente de la misma manera.

Además, el código malicioso agrega claves en el registro de Windows para asegurarse su ejecución en cada reinicio. También realiza copias ocultas de si mismo en el sistema, bajo los siguientes nombres:

c:\windows\strad.exe
c:\windows\zser.exe
c:\windows\system32\xsfr.exe
c:\windows\system32\xeyu.exe

La cantidad de gusanos que actualmente utilizan esta técnica de propagación va en aumento, incluso en idioma español. Y los programas de mensajería instantánea son un blanco preferido para captar víctimas.

"Es importante que el usuario entienda que tanto en casos como éste, como en el de simples mensajes de correo electrónico, abrir o aceptar enlaces o archivos no solicitados, sin importar quien sea el remitente, es el peor error que se puede cometer", afirma Gonzalo Alvarez director de Investigación y Análisis de ESET NOD32 Uruguay.

"No importa quien parezca ser el remitente, ya que es muy fácil usurpar la personalidad de cualquier persona. Incluso en casos como éste, el propio gusano al propagarse, va a utilizar la lista de contactos conocidos utilizada por la víctima, aumentando la posibilidad de que un usuario no atento acepte el enlace sin pensarlo dos veces", afirma Alvarez.

La recomendación es jamás abrir adjuntos que no hayan sido expresamente pedidos, ni mucho menos hacer clic en enlaces que aparezcan en mensajes que nunca solicitamos, sin importa en ningún caso quien es el remitente.

Además, se recomienda la constante actualización del sistema operativo y demás aplicaciones utilizadas a fin de evitar cualquier tipo de vulnerabilidad existente en los mismos.

Un usuario con conocimientos sobre estos temas, siempre actuará de forma más segura que uno que no lo está. Por esa razón ESET ha desarrollado su propia plataforma educativa en línea sobre seguridad informática y seguridad antivirus, con cursos para que todos los usuarios puedan aprender a usar Internet en forma segura.

Más información sobre la Plataforma Educativa de ESET:
http://edu.eset-la.com


Relacionados:

VB.NKS. Se propaga por Messenger como película de Bush
http://www.vsantivirus.com/vb-nks.htm


NOTA: Virustotal.com es un servicio desarrollado por Hispasec Sistemas, laboratorio independiente de seguridad informática, que utiliza las versiones de línea de comando de varios motores antivirus, actualizados puntualmente con las firmas oficiales publicadas por sus desarrolladores.


Sobre ESET en Uruguay:

Video Soft, empresa creadora del sitio VSAntivirus, representa de forma exclusiva en Uruguay a ESET NOD32 Antivirus. Más información: http://www.nod32.com.uy/, http://www.eset.com.uy/



[Última modificación: 05/05/07 13:10 -0200]



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com