Oriol Cortés - El gusano
Kamasutra puede tratarse de una amenaza muy seria. Este programa dañino se
propaga por correo electrónico, como archivo adjunto a los mensajes, así como a
través de las redes abiertas. Se estima que en la actualidad están infectados
cientos de miles de ordenadores en todo el mundo y este número crece sin cesar.
Kamasutra, conocido también como Nyxem.e, se activa los días 3 de cada mes y
destruye aleatoriamente información del ordenador donde está alojado. El gusano
comprueba periódicamente el día y la hora del sistema. Los días 3 de cada mes,
y a los treinta minutos de arrancar el ordenador, Kamasutra borra información
de los ficheros de uso común y la sustituye por series de caracteres sin
sentido.
Descripción del virus
El gusano, en sí mismo, es una aplicación Windows (PE EXE file) con un tamaño
aproximado de 95KB. El fichero llega adjunto a un correo electrónico con más de
25 asuntos posibles (Kamasutra, Hot movie, Arab sex, A great video, etc.). El
cuerpo del mensaje y el nombre del fichero adjunto pueden variar, existiendo
más de 20 variantes (photo.pif, School.pif, Sex.mim, WinZip.BHX,
Word_Document.hqx, etc.), lo cual hace difícil para el usuario identificar
inmediatamente que se trata de un mensaje infectado.
El gusano se activa cuando el usuario abre el fichero adjunto creando un
archivo ZIP con el mismo nombre, que a su vez se abre e instala en el sistema.
A continuación el gusano se copia en los directorios RAIZ y SYSTEM del disco
duro con diversos nombres. Y se registra en el registro del sistema para
asegurarse de que se activará cada vez que se inicie Windows en la máquina
víctima.
Por otra parte, el gusano se autoenvía a las direcciones de correo electrónico
que encuentra en el ordenador que ha infectado. Para ello establece una
conexión directa con el servidor STMP del destinatario. También se copia en
todos los recursos de red compartidos por el ordenador infectado. Todo ello
incrementa enormemente el potencial de propagación de Kamasutra (Nyxem.e)
El gusano Kamasutra puede interrumpir también el funcionamiento de las
soluciones de seguridad no actualizadas (antivirus y firewalls) y es capaz de
descargar de Internet sus propias actualizaciones.
|