Virus messenger
La empresa de seguridad informática Aladdin Knowledge Systems, confirmó la existencia de un nuevo virus messenger tipo troyano que se expande a través de los clientes del programa Windows Live Messenger (programa de mensajería instantánea de Microsoft) y que ya ha infectado a más de 11.000 ordenadores.
El “maldito” se propaga a los usuarios a través de mensajes que incluyen archivos Zip malversados.
Se trata de un documento ejecutable de doble extensión titulado nombredeficherojpg.exe, o de un archivo con la etiqueta images que esconde un ejecutable .pif.
Los mensajes ensuciados con el código malicioso aparentan provenir de la lista de contactos IM de la víctima.
Este malware tiene el poder, también, de poder difundirse mediante clientes de red privada virtual (VPN), utilizados generalmente por los usuarios corporativos para conectarse a las redes empresariales cuando se encuentran fuera del área protegida por los firewalls.
Roei Lichtman, director de gestión de producto de Aladdin, explicó que esta característica aumenta superlativamente la eficacia del troyano, puesto que una vez instalado en un archivo interno del ordenador a través del sistema IM, el ataque es capaz de penetrar en el perímetro corporativo vía VPN e infectar al resto de plataformas empresariales, incluyendo aquellas que no utilicen Windows Live Messenger.
En el mes de septiembre se había propagado, principalmente en Argentina, Uruguay, Chile y España, un troyano denominado Win32/SdBot que también utilizaba al cliente de mensajería instantánea para difundirse.
En este caso el virus messenger funcionaba de la siguiente manera:
una máquina infectada, sin orden del usuario, envía un archivo (IMG-0012.zip o .rar) junto al texto “Esta es la foto nuestra que voy a poner en MySpace”, o algo que por el estilo incitando al otro usuario a descargarlo.
Una vez bajado y abierto el archivo, el troyano se instala y convierte a dicha máquina en una parte vulnerable de una botnet, que puede ser controlada remotamente, con el objetivo de enviar spam, robar información del usuario, etc. Además, una vez infectada, dicha PC seguirá propagando el troyano de la manera que lo recibió.
Continuando con las noticias de malware, Sophos informó sobre la existencia de otro troyano, el Dorf-AH, que se propaga en un archivo RAR MP3 adjuntado al correo electrónico. El truco es increíble: se recibe un correo electrónico no deseado de un supuesto detective, que le advierte estar escuchando sus llamadas telefónicas.
En el texto el “detective” le sugiere revelar la identidad de quien le ha pagado para vigilarlo. El texto dice algo así:
"Estoy trabajando en una agencia de detectives privados. No te puedo decir ahora mi nombre. Te quiero
advertir de que voy a escuchar tu línea telefónica. ¿Quieres saber quién es el que paga? Espera mi siguiente mensaje.
P.D. Estoy seguro de que no me crees. La grabación de una conversación que mantuviste ayer te confirmará que todo esto es real”.
El virus messenger llamado “detective”
• Se adjunta grabación en un archivo RAR MP3 protegido con una contraseña.
El archivo MP3 realmente no existe, lo que se adjunta en realidad es un malware que se instala en el ordenador de la víctima y que se descarga desde un sitio web peligroso.
• Dentro del virus messenger aparece una parte de scareware que muestra una alerta falsa del Centro de Seguridad de Windows e intenta convencer a la víctima de que compre un software de seguridad falso.
Graham Cluley, consultor senior de tecnología de Sophos, explicó: "Si caes en la trampa e intentas escuchar las presuntas grabaciones de tus conversaciones telefónicas, instalarás el programa malicioso directamente en tu ordenador. Los usuarios domésticos y las empresas necesitan defender sus gateways de sus correos electrónicos con una protección garantizada frente a los últimos ataques de virus y correos no deseados"
