Ya no basta con la ingeniería social
para convencer a los usuarios e infectarlos con nuevos virus.
Los desarrolladores de estas plagas incluyen nuevos códigos
que desactivan los programas antivirus presentes en las
máquinas. Así actúa el Bat.WCup@mm, un nuevo gusano que
utiliza el mundial para engañar a los usuarios y que puede
llegar a destruir archivos claves para el funcionamiento del
PC
El virus llega, como ya viene siendo habitual, por correo
electrónico e invita al usuario a abrirlo para conocer las
últimas noticias del mundial de fútbol.
Este es el mensaje que le llega al usuario.
Asunto: World Cup News! (Noticias de la Copa del Mundo)
Texto: Read me for more world cup news! (Léame para más
noticias de la copa del mundo)
Anexo: Worldcup_score.vbs
Una vez abierto el fichero, el script incluido inicia su
actividad. Worldcup_score.vbs, es un archivo batch y el virus,
creando diversos ficheros auto ejecutables en el PC con los
nombres de los países participantes.
Argentina.bat
Worldcup.bat
World_cup_.bat
Germany.bat
China.bat
Turkey.bat
Russia.bat
Denmark.bat
Wini.bat
Costarica.bat
Spain.bat
Funny.bat
Italy.bat
Worldcup_score.vbs
Japan.vbs
England.vbs
Ireland.vbs
Uraguay.vbs
Paraguay.vbs
Brazil.vbs
Dd.ini
Eyeball.reg
Pif.lnk
Vbs.lnk
Estos archivos son creados en el directorio \Windows o
Windows\System, con la excepción del Turkey.bat, que se crea
en el menú "inicio", en \Windows\StartMenu\Programs\Startup.
En la raíz del disco C, el gusano crea un fichero con el
nombre "ThisIsOnlyASimpleWorm" con lo que es fácilmente
identificable para el usuario descubrir si ha sido infectado o
no. Los archivos win.ini y system.ini son modificados e
incluidos comandos que permitan la ejecución del virus.
Asimilo, el archivo de arranque del equipo "Autoexec.bat" es
sobrescrito con el código del gusano y el registro es
modificado para que el virus sea ejecutado cada vez que el
ordenador sea puesto en marcha.
Como protección para su invisibilidad, el gusano elimina
algunos ficheros indispensables para su reconocimiento por los
antivirus más populares, como los siguientes.
Progra~1\Norton~1\*.exe
Progra~1\Norton~1\S32integ.dll
Progra~1\Kasper~1\Avp32.exe
Progra~1\Trojan~1\Tc.exe
Progra~1\F-Prot95\Fpwm32.dll
Progra~1 \Mcafee\Scan.dat
Progra~1\Tbav\Tbav.dat
Progra~1\Avpersonal\Antivir.vdf
Como todos los gusanos, una vez activado Bat.WCup@mm envía
copias de si mismo a todos los contactos del libro de
direcciones de Outlook y modifica el archivo Script.ini del
MIRC a fin de expandirlo a través de los canales del IRC.
sábado mayo 24, 2014 |