Todas las firmas antivirus están alertando de la propagación y
difusión de un nuevo gusano programado en VBSCript conocido bajo el
nombre de VBS.NewLove.A.
El nuevo gusano representa un alto riesgo, mayor que el anterior
LoveLetter debido a su gran capacidad de reproducción y porque su
acción es mucho más peligrosa al eliminar todos los archivos del disco
duro del ordenador afectado.
NewLove, también conocido como VBS.Spammer, llega en un mensaje con un
asunto siempre diferente lo cual puede hacer más difícil su
identificación para usuarios inexpertos. Aun así, presenta un gran
número de características que pueden permitir detectarlo y evitar el
contagio.
VBS.NewLove.A llega a los usuarios en un mensaje de correo electrónico
con el asunto FW: y un nombre de fichero elegido de forma aleatoria y
el cuerpo del mensaje permanece vacío, sin ningún texto. Por supuesto,
incluye un archivo adjunto de extensión vbs, que es el gusano en sí, y
que bajo ningún concepto debe ejecutarse. El nombre del archivo
adjunto se genera de forma aleatoria, por lo cual no se puede
determinar, simplemente hay que tener cuidado de no ejecutar ningún
vbs.
Aunque el nombre del archivo adjunto que aparece se genera de forma
aleatoria, la extensión del archivo puede ser doc, xls, mdb, bmp, mp3,
txt, jpg, gif, mov, url o htm, seguido siempre de la extensión
autentica del fichero, es decir vbs.
Cuando el usuario ejecuta el archivo adjunto, el código maligno entra
en acción y en primer lugar se crean sendas copias de si mismo en el
directorio de instalación de Windows y en el directorio system. Ambas
con nombre elegidos de forma aleatoria, todo para tratar de dificultar
su localización. Para asegurarse su ejecución cuando en el próximo
arranque del ordenador crea dos entradas en el registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
El valor de estas entradas serán los nombres de las copias que generó
anteriormente. Tras esto, el gusano se enviará de forma automática a
todas las entradas de la libreta de direcciones de Outlook, tal y como
actuaba el conocido “iloveyou”. Tras ello, el gusano realizará su
acción más dañina, recorriendo uno por uno todos los directorios de
todas las unidades del sistema atacado. De esta forma busca todos los
archivos del sistema infectado y crea un nuevo fichero con el mismo
nombre, copia su código sobre él y le pone la extensión vbs. Tras ello
borra el archivo original, de tal forma que al acabar esta acción el
usuario habrá perdido todos los datos de su ordenador.
Como ya hemos comentado este gusano es polimórfico, lo que quiere
decir que el código variará de generación en generación. Si bien el
nivel de polimorfismo puede distar mucho de ser calificado como tal,
siendo de muy baja calidad. Las variaciones que efectúa consisten en
insertar un número aleatorio de líneas de comentario a lo largo del
código. La inclusión de estas líneas que tienen hasta 300 caracteres
aleatorios (letras mayúsculas) hace que el gusano vaya engordando de
generación en generación. No creemos que sea adecuado calificar esta
acción de polimorfismo, ni que esta acción pueda dificultar la
detección por parte de los antivirus.
Parece mentira como después de todo lo que se ha hablado y escrito
sobre LoveLetter un gusano de este tipo haya podido llegar a tener la
repercusión que ha tenido, si bien no tenemos conocimiento de que haya
llegado a España. Una vez más recordar que no se deben ejecutar
aquellos archivos que lleguen adjuntos en mensajes de correo no
solicitados, y en cualquier caso, preguntar al remitente si el envío
es real o ha sido producido por algún agente externo.
Más información:
AVP
Sophos
NAI
F-Secure
Panda Software
Trend Micro
CNet
Wired
ZDNet
Deja un comentario