|
Un gusano de mensajería instantánea se difunde simulando ser una postal |
||
|
|
||
|
Por: Panda Software |
Enviar a un amigo
| 
Imprimir página |
|
Mepe.A es un gusano que provocó un significativo número de infecciones durante los días 20 y 21 de septiembre, especialmente en Latinoamérica, que le llevaron a estar en el primer puesto de infecciones a nivel mundial durante unas horas. Este gusano busca ventanas abiertas de título "Conversación", generalmente de mensajería instantánea, para propagarse, de modo que cuando un usuario infectado posea una ventana con dicho nombre, envía una invitación en castellano con un link, a la descarga de una supuesta postal. Ésta resulta ser el propio virus que, al ser ejecutado, infecta al equipo, mostrando un falso mensaje de error, continuando con sus acciones, crea una serie de copias de sí mismo en el directorio del sistema, así como la inscripción de una serie de claves en el registro para la ejecución automática en cada reinicio.
Además, en el directorio raíz crea un fichero que contiene la frase "Dios sólo
nos
dio un 1 y un 0, y con eso, hemos construido un universo".
Para propagarse, este gusano utiliza aplicaciones de mensajería instantánea, de modo que cuando el usuario se conecte a la mencionada aplicación, el gusano busca ventanas activas de título "Conversación", a las que envía un mensaje en castellano invitando a descargar una postal de un conocido sitio web: "te mandaron un recado conmigo, ya te has de imaginar quien y si no sabes me dijo que no te dijera quien, me dijo que te lo escribio en una postal y que de aqui la abras www.[omitido].com ,bueno yo ya cumpli e?". El link que se envía al usuario remite al usuario a un sitio web que contiene una copia del gusano, de modo que éste se descarga en el ordenador del usuario, infectándolo.
Además, Mepe.A también vigila las tareas en ejecución, con el objetivo de cerrar
las ventanas cuyo nombre coincida con "Administrador de tareas de Windows",
"Panel de Control", "Editor del Registro", "Utilidad de configuración del
sistema", y
"Restaurar Sistema", de modo que el usuario no pueda finalizar el proceso
relacionado con el gusano.
Las incidencias por este virus han descendido drásticamente, ya que el ISP responsable del servidor donde el creador de malware había alojado el gusano, ha deshabilitado el fichero, tras recibir el correspondiente aviso por parte de PandaLabs.
Las otras dos especies de malware, Mitglieder.EW y Mitglieder.FB, muy similares
en su estructura, han sido parte de las causantes de un significativo número de
incidencias en los últimos días, como parte de la oleada de los Bagle y
Mitglieder distribuidos masivamente por correo. Ambos están dirigidos
principalmente a deshabilitar las soluciones de seguridad de los equipos de los
usuarios, preparándolos para servir de punto de entrada de otro malware.
Mitglieder.EW es un troyano, de modo que no posee método de propagación propio.
La distribución de este malware ha podido estar relacionada tanto con una
distribución manual, como con la simbiosis con gusanos Bagle (bastante habitual
entre estos dos tipos de especimenes), así como con la difusión por medio de
redes de bots. Una vez llega al ordenador, el troyano detiene procesos
pertenecientes a las rutinas de actualización de diferentes programas antivirus,
además de servicios relacionados con programas antivirus y cortafuegos, entre
otros. Para asegurarse de la noejecución de estos programas, Mitglieder.EW
también elimina las entradas del Registro de Windows que almacenan las opciones
de configuración de estos programas.
Finalmente, y como viene siendo habitual en las variantes de Mitglieder, intenta
descargar un fichero que simula ser una imagen (pero que en realidad es un
ejecutable), OSA6.GIF, de un gran número de sitios web. Este fichero resulta ser
una variante de la familia Fantibag.
Por su parte, Mitglieder.FB repite el funcionamiento del anterior, incluyendo
direcciones de descarga del fichero OSA6.GIF, finalizando un gran número de
procesos y borrando una serie de ficheros ejecutables en el disco duro del
ordenador, con independencia de la unidad en la que se encuentren, en su mayoría
relacionadas con aplicaciones de seguridad informática. En este caso, el fichero
descargado contiene en realidad una variante de Downloader.
Para evitar la entrada de este malware o de cualquier otro código malicioso,
Panda Software recomienda mantener actualizado el software antivirus. Los
clientes de Panda Software ya tienen a su disposición las correspondientes
actualizaciones para la detección y desinfección de estas especies de malware.
25 de octubre de 2005
