Riesgo en las comunicaciones vía Messenger
Alerta de riesgo medio por worm_bropia.f, que se propaga a través de MSM Messenger
Este nuevo gusano utiliza la imagen cómica de un pollo para evitar que los usuarios adviertan que están siendo infectados.
Trend divulgó un alerta de riesgo medio por WORM_BROPIA.F, gusano que se propaga a través de MSN Messenger, una popular plataforma
de mensajería instantánea. El gusano intenta enviar copias de sí mismo con diferentes nombres de archivos a todos los contactos en
lía, simulando contener imágenes tentadoras- lo que reciben los usuarios es una fotografía cómica de un pollo asado al que se le ve la
marca del bikini. El gusano también contiene al gusano AGOBOT como parte de su carga dañina, que es capaz de abrir una puerta trasera
en los sistemas infectados. Se han detectado casos de este gusano en China, Taiwán, Corea, México, Bolivia y Estados Unidos.
WORM_BROPIA.F es un gusano informático residente en memoria, que se propaga a través del popular sistema de mensajería instantánea MSN
Messenger. Al infectar una máquina, repite el proceso y reenvía copias de sí mismo a los contactos del nuevo usuario infectado.
El proceso infeccioso se lleva a cabo de la siguiente forma: un usuario conectado a su cuenta de MSN Messenger puede recibir un
mensaje de uno de sus contactos, a través del cual pretende transferirle un archivo con alguno de los siguientes nombres:
Bedroom-thongs.pif
Hot.pif
LMAO.pif
LOL.scr
Naked_drunk.pif
New_webcam.pif
ROFL.pif
Underware.pif
Webcam.pif
Si el usuario acepta el archivo, el gusano se ejecuta e infecta el sistema y se empieza a propagar entre los contactos conectados del
nuevo usuario infectado. Además, para ocultar su rutina de propagación, utiliza un recurso humorístico, al abrir un archivo llamado
SEXY.JPG, en la que aparece la imagen de un pollo asado que parece que se haya cocinado en el horno con un bikini puesto.
También deja una copia de sí mismo en el directorio raíz (usualmente C:) con el nombre MSNUS.EXE, y otra copia más con uno de los
nombres descritos arriba.
WORM_BROPIA.F no sólo despliega la descrita rutina de propagación. También copia y ejecuta un archivo con el nombre WINHOST.EXE, un
programa robot que Trend Micro detecta como WORM_AGOBOT.AJC. Este es un programa robot que abre una puerta trasera en el sistema
infectado, permitiendo a usuarios malintencionados la ejecución comandos remotos en el sistema. WORM_AGOBOT.AJC también puede robar
los ID de producto de Windows, así como las claves de ciertas aplicaciones.
?Muchas empresas han estado bloqueando los programas de mensajería instantánea por razones de productividad de los empleados y ahora
podrían tener buenas razones para hacerlo también por motivos de seguridad?, comentó David Kopp, director de Trendlabs en EMEA. ?Con
la popularidad que tienen los sistemas de mensajería instantánea, es posible que los usuarios domésticos sean los que sufran un mayor
riesgo- esta clase de gusanos utiliza el humor para hacer que la gente no se dé cuenta de que están siendo infectados y que se han
abierto puertas traseras en sus sistemas?.
WORM_BROPIA.F llega en un archivo de 184 KB de tamaño y afecta a las plataformas Windows 95, 98, ME, NT, 2000 y XP.
Cómo prevenir infecciones
Como regla general y principal medida, los usuarios de computadoras deben estar alerta y no aceptar la transferencia de ningún archivo
no solicitado enviado a través de MSN Messenger, aunque este provenga de uno de sus contactos. Por su parte, los administradores de
redes corporativas pueden bloquear la transferencia de archivos a través de MSN Messenger para controlar la propagación al interior de
sus redes.
Trend Micro ha lanzado ya el patrón de virus número 2.390.00 para detectar este gusano y prevenir infecciones por WORM_BROPIA.F. Los
clientes de los Servicios de Prevención de Epidemias deben que descargar la OPP 144 (o posterior) para ayudarles a protegerse contra
la propagación de esta amenaza. Para los clientes de los Servicios de Limpieza de Daños (Damage Cleanup Services), deben actualizar la
plantilla de Limpieza de Daños número 505 para ayudarles con la restauración de los sistemas afectados.
Otros usuarios pueden utilizar Housecall, el escáner antivirus en línea gratuito de Trend Micro, que se puede encontrar en
http://housecall.trendmicro.com/.