Esta nueva variante de la familia de gusanos Oscarbot, posee funcionalidades
de bot, pudiendo ejecutar órdenes que recibe de un usuario remoto. Una vez
instalado en el equipo, este malware crea una copia de sí mismo en la carpeta
de sistema de Windows, y modifica algunas claves del registro del sistema para
asegurar su ejecución como un servicio en el arranque del sistema.
“La propagación de este gusano utiliza el modus operandi típico del malware
asociado a programas de mensajería instantánea: una vez que existe conexión a
Internet, envía un mensaje a todos los contactos conectados del ordenador
afectado, con un mensaje que contiene un hipervínculo, y desde donde se
descarga una copia del propio gusano, o bien otro malware”, afirma Luis Corrons,
director de PandaLabs. “Sin embargo, en este caso la propagación depende de
órdenes remotas: cuando se ejecuta, el gusano se conecta a un servidor de IRC,
donde recibe distintos comandos, que van desde la descarga y ejecución de
archivos, a la de su propagación por medio de AIM”.
Esta nueva variante viene a confirmar el aumento del uso que los creadores de
malware hacen de las nuevas formas de comunicación, como la mensajería
instantánea, y que ya explotan especimenes sobre los que Panda Software ha
informado anteriormente, como Bropia, o Kelvir, ambos con un gran número de
variantes. En este caso, la motivación es doble ya que, al tener funciones de
bot, la distribución de Oscarbot.F puede facilitar la constitución de las
llamadas “redes de bots” con múltiples propósitos (típicamente envío de correo
basura, ataques a otras máquinas, o descarga de otro malware), y a través de
las cuales los creadores de códigos maliciosos pueden obtener beneficios
económicos.
|