Esta nueva variante de la familia de gusanos Oscarbot, posee funcionalidades de bot, pudiendo ejecutar órdenes que recibe de un usuario remoto. Una vez instalado en el equipo, este malware crea una copia de sí mismo en la carpeta de sistema de Windows, y modifica algunas claves del registro del sistema para asegurar su ejecución como un servicio en el arranque del sistema.

“La propagación de este gusano utiliza el modus operandi típico del malware asociado a programas de mensajería instantánea: una vez que existe conexión a Internet, envía un mensaje a todos los contactos conectados del ordenador afectado, con un mensaje que contiene un hipervínculo, y desde donde se descarga una copia del propio gusano, o bien otro malware”, afirma Luis Corrons, director de PandaLabs. “Sin embargo, en este caso la propagación depende de órdenes remotas: cuando se ejecuta, el gusano se conecta a un servidor de IRC, donde recibe distintos comandos, que van desde la descarga y ejecución de archivos, a la de su propagación por medio de AIM”.

Esta nueva variante viene a confirmar el aumento del uso que los creadores de malware hacen de las nuevas formas de comunicación, como la mensajería instantánea, y que ya explotan especimenes sobre los que Panda Software ha informado anteriormente, como Bropia, o Kelvir, ambos con un gran número de variantes. En este caso, la motivación es doble ya que, al tener funciones de bot, la distribución de Oscarbot.F puede facilitar la constitución de las llamadas “redes de bots” con múltiples propósitos (típicamente envío de correo basura, ataques a otras máquinas, o descarga de otro malware), y a través de las cuales los creadores de códigos maliciosos pueden obtener beneficios económicos.