PandaLabs ha registrado en las últimas 24 horas un considerable número de incidencias provocadas por un nuevo gusano de mensajería, Mepe.A, en la zona de Latinoamérica, que se propaga utilizando programas de mensajería instantánea. Puede seguirse la evolución de este gusano en la Enciclopedia de Virus de Panda Software, en http://empresas.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=est&idvirus=90325

Este gusano, de origen hispano, y que simula ser un fichero de Shockwave Flash compilado –algo completamente falso-, al ejecutarse muestra un mensaje simulando que su ejecución ha fallado, pese a que ésta continúa, con la creación de una serie de copias de sí mismo en el directorio del sistema, así como la inscripción de una serie de claves en el registro para la ejecución automática en cada reinicio. Además, en el directorio raíz crea un fichero que contiene la frase “Dios sólo nos dio un 1 y un 0, y con eso, hemos construido un universo”.

Para propagarse, este gusano utiliza aplicaciones de mensajería instantánea, de modo que cuando el usuario se conecte a la mencionada aplicación, el gusano busca ventanas activas de título “Conversación”, a las que envía un mensaje en castellano invitando a descargar una postal de un conocido sitio web: “te mandaron un recado conmigo, ya te has de imaginar quien y si no sabes me dijo que no te dijera quien, me dijo que te lo escribio en una postal y que de aqui la abras www.[omitido].com ,bueno yo ya cumpli e?”. El link que se envía al usuario remite al usuario a un sitio web que contiene una copia del gusano, de modo que éste se descarga en el ordenador del usuario, infectándolo.

Además, Mepe.A también vigila las tareas en ejecución, con el objetivo de cerrar las ventanas cuyo nombre coincida con “Administrador de tareas de Windows”, “Panel de Control”, “Editor del Registro”, “Utilidad de configuración del sistema”, y “Restaurar Sistema”, de modo que el usuario no pueda finalizar el proceso relacionado con el gusano.

Desde PandaLabs ya se ha contactado con la compañía cuyos servidores alojan el gusano, para proceder a la desactivación de la URL y de este modo detener las infecciones.