PandaLabs ha informado de la aparición de los nuevos gusanos Gaobot.IUF
y Prex.AM que, como novedad, se propagan juntos utilizando un único
archivo en formato RAR (si bien se trata de un fichero autoextraíble y la
extensión del archivo que recibe el usuario es .EXE). Inicialmente, dicho
archivo parece haber sido enviado de forma manual a un determinado número de
usuarios, ya que la verdadera forma de propagación de estos códigos maliciosos
es la aplicación de mensajería instantánea MSN Messenger.
En caso de que el usuario ejecute el mencionado archivo, éste se descomprimirá
de manera automática, generando dos ficheros que contienen a los gusanos. A
partir de este momento, ambos códigos maliciosos se “reparten” las acciones a
realizar. Gaobot.IUF crea un backdoor o puerta trasera y se conecta a un
servidor de IRC, donde espera las órdenes de un atacante remoto. Este puede
llevar a cabo un gran número de acciones en los ordenadores afectados, como
pueden ser la obtención de información sobre el hardware del equipo, el robo de
claves de registro de algunos juegos, o la actualización del propio gusano,
entre otras. Asimismo, Gaobot.IUF puede propagarse a través de recursos de red
compartidos que se encuentren protegidos con claves simples.
Por su parte, el gusano Prex.AM se encarga de enviar mensajes a través de MSN
Messenger. Los mismos contienen el texto: hmm like my friend said dont look
ahaha, SICK pictures, además de un link a una dirección de Internet. Si el
usuario pulsa sobre dicho link, se descargará en el equipo el fichero que
contiene a ambos códigos maliciosos. |