Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Atención: Gusano simula ser un test de Hispasec

Atención: Gusano simula ser un test de Hispasec

Por Leave a Comment

Un nuevo gusano se está distribuyendo por e-mail simulando ser un
test enviado desde Hispasec. El archivo que se adjunta es en realidad
un nuevo gusano que está siendo distribuido desde Hotmail. Recordamos
a todos nuestros lectores que el origen y autenticidad de las notas
de Hispasec pueden comprobarse por la firma PGP y a través de su
publicación simultanea en nuestro sitio http://www.hispasec.com. Deben de
ignorar cualquier mensaje que no cumpla ambos requisitos.

La distribución se está realizando desde Hotmail, y el mensaje
tiene el siguiente aspecto:

Remite: «test@hispasec.com»
Asunto: «Tests antivirus para comprobar la protección del e-mail»
Adjunto: «eicax.com»

Cuerpo: «Hispasec pone a disposición de todos los usuarios dos tests
para comprobar el correcto funcionamiento de la protección
antivirus del correo electrónico. El primero de ellos nos
indicará la correcta instalación y buen funcionamiento del
antivirus, mientras que el segundo determinará la capacidad
de detección proactiva para identificar gusanos que explotan
vulnerabilidades conocidas.»

El adjunto tiene un tamaño de 180.736 bytes, resultado de comprimir
con UPX el ejecutable original de 438.784 bytes, al parecer escrito
en Delphi. En el código se puede apreciar como, además del mensaje
simulando un envío de Hispasec, se encuentran otros muchos textos
para construir otros e-mails y utilizarlos como anzuelo. Entre otras
temáticas, hacen referencia a Hotmail, Microsoft, Madonna, Spam,
SARS, otros sitios de información sobre virus y seguridad (además
de Hispasec), chistes, etc., todos en español.

Además del e-mail, el gusano utiliza los programas de archivos de
intercambio P2P, entre otros Kazaa, eDonkey o Morpheus, copiando el
gusano en las carpetas que estos programas utilizan para compartir
los archivos e infectar así al resto de la comunidad.

El sistema de monitorización de nuestro servidor ha detectado un
aumento inusual en el tráfico de entrada, lo que ha permitido
detectarlo de forma temprana. Este tráfico era provocado por rebotes
provenientes de Hotmail debido a que el e-mail con el que se ha
distribuido tenía como «reply-to» una cuenta que simulaba nuestro
dominio de origen. Si en las próximas horas se detectan incidencias
reales de usuarios infectados, procederemos a enviar una nueva nota
ya con un análisis más detallado.

Bernardo Quintero
bernardo@hispasec.com

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.