Llega a través de correo electrónico en un fichero adjunto con
el nombre “LIFE_STAGES.TXT.SHS”, a primera vista su extensión
real queda oculta, lo que le permite pasar por un fichero en
formato texto. También se distribuye a través de clientes de
charla y unidades de red.
Tras recibir las primeras incidencias de infección por parte
de algunos usuarios, pasamos a a realizar este primer aviso
informativo, a la espera de poder ofrecer un análisis detallado
en breve, así como conocer la difusión real alcanzada, que
esperamos sea mínima debido a la rápida respuesta de las casas
antivirus.
Una de las novedades que presenta este gusano es el uso del
formato SHS de Microsoft (scrap objects), que permite empaquetar
objetos, en el caso que nos ocupa un script en Visual Basic.
Además, la extensión del fichero queda oculta aunque la
configuración de Windows establezca visualizar las extensiones
de los formatos registrados, lo que permite engañar al usuario
con mayor facilidad.
Como adelanto, indicar que en principio no se ha detectado
que el gusano lleve en su interior acción dañina alguna de
forma directa. Su única finalidad parece la reproducción,
para lo que aprovecha los recursos habituales en estos casos,
como son Outlook, clientes de IRC y unidades de red.
bernardo@hispasec.com
Deja un comentario