PandaLabs ha registrado en las últimas 24 horas un considerable número de
incidencias provocadas por un nuevo gusano de mensajería, Mepe.A, en la zona de
Latinoamérica, que se propaga utilizando programas de mensajería instantánea.
Puede seguirse la evolución de este gusano en la Enciclopedia de Virus de Panda
Software, en
http://empresas.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=est&idvirus=90325
Este
gusano, de origen hispano, y que simula ser un fichero de Shockwave Flash
compilado –algo completamente falso-, al ejecutarse muestra un mensaje simulando
que su ejecución ha fallado, pese a que ésta continúa, con la creación de una
serie de copias de sí mismo en el directorio del sistema, así como la
inscripción de una serie de claves en el registro para la ejecución automática
en cada reinicio. Además, en el directorio raíz crea un fichero que contiene la
frase “Dios sólo nos dio un 1 y un 0, y con eso, hemos construido un universo”.
Para propagarse, este gusano utiliza aplicaciones de mensajería instantánea, de
modo que cuando el usuario se conecte a la mencionada aplicación, el gusano
busca ventanas activas de título “Conversación”, a las que envía un mensaje en
castellano invitando a descargar una postal de un conocido sitio web: “te
mandaron un recado conmigo, ya te has de imaginar quien y si no sabes me dijo
que no te dijera quien, me dijo que te lo escribio en una postal y que de aqui
la abras www.[omitido].com ,bueno yo ya cumpli e?”. El link que se envía al
usuario remite al usuario a un sitio web que contiene una copia del gusano, de
modo que éste se descarga en el ordenador del usuario, infectándolo.
Además, Mepe.A también vigila las tareas en ejecución, con el objetivo de cerrar
las ventanas cuyo nombre coincida con “Administrador de tareas de Windows”,
“Panel de Control”, “Editor del Registro”, “Utilidad de configuración del
sistema”, y “Restaurar Sistema”, de modo que el usuario no pueda finalizar el
proceso relacionado con el gusano.
Desde PandaLabs ya se ha contactado con la compañía cuyos servidores alojan el
gusano, para proceder a la desactivación de la URL y de este modo detener las
infecciones.
|