Skip to content

Gusanos de propagación masiva para MSN Messenger

Publicado por Sergio Hernando el 16 junio 2007

No se si soy el único, pero últimamente estoy notando que los gusanos para Messenger están resurgiendo, tras una etapa en la que aparentemente estaban en estado de casi inexistencia.

He recibido un correo de un familiar, y nada más leer el asunto con ese inconfundible texto en portugués (brasileño) me ha quedado claro que mi contacto no me ha enviado nada, y que se trata de alguna acción automatizada que proviene del malware presente en la máquina de este usuario.

En circunstancias normales envío un mensaje recomendando que alguien de su entorno con los mínimos conconocimientos le pase un antivirus decente al equipo, llámese Kaspersky, llámese NOD32, llámese F-Secure, y que en caso de tener dudas, que se formatee la máquina. Hoy me ha dado por examinar un poco más el correo. Viene a decir algo así:

Olá, Sergio
[nick de mi contacto], lhe enviou um cartão.
Mail, [correo_de_mi_contacto@dominio.com]

Se você está tendo problemas em visualizar,clique aqui

Aproveite!

Envie um cartão para um amigo.

Este cartão ficará disponível por 15 dias.

El modus operandi del gusano es bastante conocido y primitivo. Para todos los contactos del usuario infectado, se toman los nicknames MSN y los correos, con la finalidad de redactar mensajes de correo electrónico de propagación.

El gusano explota la técnica más exitosa cuando se pretende que un usuario siga un enlace: crear familiaridad en el usuario, o en el peor de los casos, suficiente duda para que el receptor se piense si debería o no abrir ese mensaje. El usuario, por norma general, va a abrir el correo y muy probablemente, va a seguir el enlace. Si mezclamos uso masivo, familiaridad y conocimientos de seguridad escasos, tenemos ante nosotros el caldo de cultivo idóneo para diseminar amenazas.

He seguido el enlace al que invita el vínculo "clique aqui" y apunta a un sitio activo:

http://CIERTODOMINIO.com/emocioneRealityShow/temaemocioneamizade/amizade.com

Como podéis imaginar, amizade.com es un Huevo Kinder con su correspondiente regalito en el interior:

Scan taken on 16 Jun 2007 09:23:45 (GMT)
A-Squared Found nothing
AntiVir Found WORM/VB.CY.7
ArcaVir Found Worm.Vb.Cy
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Spy.Banker.ZLF
ClamAV Found nothing
Dr.Web Found Win32.HLLM.Fabi
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Email-Worm.Win32.VB.cy
Fortinet Found W32/VB.CY@mm
Kaspersky Anti-Virus Found Email-Worm.Win32.VB.cy
NOD32 Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control Found W32/Suspicious_U.gen
Panda Antivirus Found Trj/Dadobra.YT
Rising Antivirus Found nothing
VirusBuster Found Packed/Upack
VBA32 Found Email-Worm.Win32.VB.cy

La muestra en cuestion es fresca, del 14 de junio, un dato que se intuye también a tenor de que algunos motores ni se huelen la presencia de algún elemento malicioso, aún habiendo pasado dos días desde que los laboratorios se pusieran manos a la obra actualizando sus firmas.

Se trata de un gusano de expansión masiva, que además de ser muy molesto, puede provocar intentos de apagado de software de seguridad que haya en la máquina del usuario. Resulta raro, en estos tiempos que corren, ver que todavía hay gente que programa gusanos. Parece que no todo el mundo se dedica a programar troyanos para la captura de credenciales sensibles.

Teniendo en cuenta que se está distribuyendo en la red de Hotmail, con un volumen de usuarios muy elevado, y que algunos motores no detectan la muestra, el consejo es el de siempre: no abráis ni sigáis los enlaces de los mensajes de correo que os puedan parecer sospechosos. Ante la más mínima duda, lo razonable es borrar el mensaje y contactar con otros medios para confirmar si lo que hemos recibido era realmente un mensaje legítimo o no.

En caso de infección, podéis probar a usar la herramienta gratuíta http://www.f-secure.com/tools/f-force.zip para limpiar la máquina afectada. Pertenece a una familia anterior, pero es probable que siga sirviendo.

Saludos,

Be Sociable, Share!

Categoría/s → Malware

3 comentarios
  1. 16 junio 2007

    Perdona que te lo diga, pero desde mi más sincera opinión, la gente a la que quizá vaya dirigido tu mensaje “Si os llega un correo no abráis…”, no lee tu blog ;). Además en esto tu amigo puede ser tu peor enemigo.

  2. 16 junio 2007

    Gura,

    El consuelo que me queda es la gente que viene a parar aquí desde Google, a la que quizás pueda servir esto de algo :)

    Pero en algo estamos de acuerdo, sí: de partida, también yo soy consciente de que por mucho que escriba la gente seguirá pinchando donde no debe.

    Saludos,

  3. 16 junio 2007

    Bien, ya habéis argumentado a favor y en contra. Iba a decir que las víctimas no están aquí… pero considerando que los buscadores (Google en especial) incorporan los nuevos posts rapidísimamente el que busque mañana sobre esto es probable que encuentre tu post en primera posición… xD

    No está mal ;)

    Hace varias semanas me tocó desinfectar la máquina de mi hermana que se había tragado este bicho de msn que «enviaba fotos»… no quiero volver a pasar por ello :-P

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS