Gusanos de propagación masiva para MSN Messenger

No se si soy el único, pero últimamente estoy notando que los gusanos para Messenger están resurgiendo, tras una etapa en la que aparentemente estaban en estado de casi inexistencia.

He recibido un correo de un familiar, y nada más leer el asunto con ese inconfundible texto en portugués (brasileño) me ha quedado claro que mi contacto no me ha enviado nada, y que se trata de alguna acción automatizada que proviene del malware presente en la máquina de este usuario.

En circunstancias normales envío un mensaje recomendando que alguien de su entorno con los mínimos conconocimientos le pase un antivirus decente al equipo, llámese Kaspersky, llámese NOD32, llámese F-Secure, y que en caso de tener dudas, que se formatee la máquina. Hoy me ha dado por examinar un poco más el correo. Viene a decir algo así:

Olá, Sergio
[nick de mi contacto], lhe enviou um cartão.
Mail, [correo_de_mi_contacto@dominio.com]

Se você está tendo problemas em visualizar,clique aqui

Aproveite!

Envie um cartão para um amigo.

Este cartão ficará disponível por 15 dias.

El modus operandi del gusano es bastante conocido y primitivo. Para todos los contactos del usuario infectado, se toman los nicknames MSN y los correos, con la finalidad de redactar mensajes de correo electrónico de propagación.

El gusano explota la técnica más exitosa cuando se pretende que un usuario siga un enlace: crear familiaridad en el usuario, o en el peor de los casos, suficiente duda para que el receptor se piense si debería o no abrir ese mensaje. El usuario, por norma general, va a abrir el correo y muy probablemente, va a seguir el enlace. Si mezclamos uso masivo, familiaridad y conocimientos de seguridad escasos, tenemos ante nosotros el caldo de cultivo idóneo para diseminar amenazas.

He seguido el enlace al que invita el vínculo «clique aqui» y apunta a un sitio activo:

http://CIERTODOMINIO.com/emocioneRealityShow/temaemocioneamizade/amizade.com

Como podéis imaginar, amizade.com es un Huevo Kinder con su correspondiente regalito en el interior:

Scan taken on 16 Jun 2007 09:23:45 (GMT)
A-Squared Found nothing
AntiVir Found WORM/VB.CY.7
ArcaVir Found Worm.Vb.Cy
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Spy.Banker.ZLF
ClamAV Found nothing
Dr.Web Found Win32.HLLM.Fabi
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Email-Worm.Win32.VB.cy
Fortinet Found W32/VB.CY@mm
Kaspersky Anti-Virus Found Email-Worm.Win32.VB.cy
NOD32 Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control Found W32/Suspicious_U.gen
Panda Antivirus Found Trj/Dadobra.YT
Rising Antivirus Found nothing
VirusBuster Found Packed/Upack
VBA32 Found Email-Worm.Win32.VB.cy

La muestra en cuestion es fresca, del 14 de junio, un dato que se intuye también a tenor de que algunos motores ni se huelen la presencia de algún elemento malicioso, aún habiendo pasado dos días desde que los laboratorios se pusieran manos a la obra actualizando sus firmas.

Se trata de un gusano de expansión masiva, que además de ser muy molesto, puede provocar intentos de apagado de software de seguridad que haya en la máquina del usuario. Resulta raro, en estos tiempos que corren, ver que todavía hay gente que programa gusanos. Parece que no todo el mundo se dedica a programar troyanos para la captura de credenciales sensibles.

Teniendo en cuenta que se está distribuyendo en la red de Hotmail, con un volumen de usuarios muy elevado, y que algunos motores no detectan la muestra, el consejo es el de siempre: no abráis ni sigáis los enlaces de los mensajes de correo que os puedan parecer sospechosos. Ante la más mínima duda, lo razonable es borrar el mensaje y contactar con otros medios para confirmar si lo que hemos recibido era realmente un mensaje legítimo o no.

En caso de infección, podéis probar a usar la herramienta gratuíta http://www.f-secure.com/tools/f-force.zip para limpiar la máquina afectada. Pertenece a una familia anterior, pero es probable que siga sirviendo.

Saludos,