Un nuevo gusano se está distribuyendo por e-mail simulando ser un
test enviado desde Hispasec. El archivo que se adjunta es en realidad
un nuevo gusano que está siendo distribuido desde Hotmail. Recordamos
a todos nuestros lectores que el origen y autenticidad de las notas
de Hispasec pueden comprobarse por la firma PGP y a través de su
publicación simultanea en nuestro sitio http://www.hispasec.com. Deben de
ignorar cualquier mensaje que no cumpla ambos requisitos.
La distribución se está realizando desde Hotmail, y el mensaje
tiene el siguiente aspecto:
Remite: «test@hispasec.com»
Asunto: «Tests antivirus para comprobar la protección del e-mail»
Adjunto: «eicax.com»
Cuerpo: «Hispasec pone a disposición de todos los usuarios dos tests
para comprobar el correcto funcionamiento de la protección
antivirus del correo electrónico. El primero de ellos nos
indicará la correcta instalación y buen funcionamiento del
antivirus, mientras que el segundo determinará la capacidad
de detección proactiva para identificar gusanos que explotan
vulnerabilidades conocidas.»
El adjunto tiene un tamaño de 180.736 bytes, resultado de comprimir
con UPX el ejecutable original de 438.784 bytes, al parecer escrito
en Delphi. En el código se puede apreciar como, además del mensaje
simulando un envío de Hispasec, se encuentran otros muchos textos
para construir otros e-mails y utilizarlos como anzuelo. Entre otras
temáticas, hacen referencia a Hotmail, Microsoft, Madonna, Spam,
SARS, otros sitios de información sobre virus y seguridad (además
de Hispasec), chistes, etc., todos en español.
Además del e-mail, el gusano utiliza los programas de archivos de
intercambio P2P, entre otros Kazaa, eDonkey o Morpheus, copiando el
gusano en las carpetas que estos programas utilizan para compartir
los archivos e infectar así al resto de la comunidad.
El sistema de monitorización de nuestro servidor ha detectado un
aumento inusual en el tráfico de entrada, lo que ha permitido
detectarlo de forma temprana. Este tráfico era provocado por rebotes
provenientes de Hotmail debido a que el e-mail con el que se ha
distribuido tenía como «reply-to» una cuenta que simulaba nuestro
dominio de origen. Si en las próximas horas se detectan incidencias
reales de usuarios infectados, procederemos a enviar una nueva nota
ya con un análisis más detallado.
bernardo@hispasec.com
Deja una respuesta