10 sept. 2007

NUEVO GUSANO DEL MSN

Hoy fueron 3 contactos que me mandaron el siguiente mensaje "voy a poner esa foto en myspace". Obviamente, demasiada coincidencia para 3 contactos que no se conocen el uno al otro. Asi que me puse a investigar inmediantamente en la web y esto fue lo que encontré en el blog de Moral3jo.com :

Normalmente no le daría mayor importancia, pero lo he visto con mucho futuro al gusanito este.
Estaba estudiando cuando alguien me escribió esto:“oye voy a poner esa foto de nosotros en mi myspace :)”
Me sorprendió porque es alguien que no veo ni hablo con el desde hace 3 o 4 años. Seguidamente me manda un archivo comprimido IMG0024.zipAl abrirlo es un archivo con este nombre - IMG0024.jpg-www.xxxxxxx.com
Me a sorprendido el gusano por lo siguiente:
Escribe en español (normalmente los gusanos mandan mensajes en ingles lo que no hace casi nadie de mis contactos)
Usa frases coloquiales y actualizadas para el mundillo de las fotos en internet. Algunos ejemplos:

oye voy a poner esa foto de nosotros en mi myspace :)
jaja recuerda cuando tuviste el pelo asi
esa foto de tu y yo la voy a poner en myspace

ojo! El texto varia dependiendo del idioma en que este el windows.
Es muy típico el nombre de archivo IMG000xx.jpg para las fotos y la extensión .com la esconde poniendo una dirección de internet en el nombre de la foto. En realidad la extensión es .com lo que lo convierte en un ejecutable
Usa el MSN messenger y no es muy canso, cada 10, 20 minutos manda el texto a algún contacto conectado.
Son solo 33 KB
Cuando lo ejecutas se copia en la carpeta normalmente de windows dentro de system con el nombre de ehSched.exe y deja allí mismo una copia del IMG024.JPG.zip para mandarlo a otro contacto.
Crea en el registro múltiples entradas, entre otras para ejecutarse siempre que inicie windows. También intenta deshabilitar el antivirus, cortafuegos y las actualizaciones.
Abre puertos en tu ordenador para ser controlado desde el
IRC, permitiendo ver los paquetes de tu propia red (claves y cosas confidenciales), buscar otros ordenadores a partir del tuyo ya infectado, preparar ataques DoS y otras cosas nada buenas.
Desde el punto de vista de programación es una maravilla de gusano, pero no me gustaría tenerlo en mi ordenador ;)
PD: Casi se me olvida, el Kaspersky ya lo detecta y seguramente los antivirus que no lo detecten poco les falte. Ha sido metido dentro de la familia Backdoor.Win32.Rbot

Bueno, ojalá sirva de ayuda.

1 comentario:

  1. habra algun parche o actualizaciòn?

    Gracias, buena tu pagina

    ResponderEliminar

Comentarios Aquí

Theme design by CES Angel