Por Bernardo Quintero bernardo@hispasec.com Un nuevo gusano se está distribuyendo por e-mail simulando ser un test enviado desde Hispasec. El archivo que se adjunta es en realidad un nuevo gusano que está siendo distribuido desde Hotmail. Recordamos a todos nuestros lectores que el origen y autenticidad de las notas de Hispasec pueden comprobarse por la firma PGP y a través de su publicación simultanea en nuestro sitio www.hispasec.com. Deben de ignorar cualquier mensaje que no cumpla ambos requisitos. La distribución se está realizando desde Hotmail, y el mensaje tiene el siguiente aspecto: Remite: "test@hispasec.com" Cuerpo: "Hispasec pone a disposición de todos los usuarios dos tests para comprobar el correcto funcionamiento de la protección antivirus del correo electrónico. El primero de ellos nos indicará la correcta instalación y buen funcionamiento del antivirus, mientras que el segundo determinará la capacidad de detección proactiva para identificar gusanos que explotan vulnerabilidades conocidas." El adjunto tiene un tamaño de 180.736 bytes, resultado de comprimir con UPX el ejecutable original de 438.784 bytes, al parecer escrito en Delphi. En el código se puede apreciar como, además del mensaje simulando un envío de Hispasec, se encuentran otros muchos textos para construir otros e-mails y utilizarlos como anzuelo. Entre otras temáticas, hacen referencia a Hotmail, Microsoft, Madonna, Spam, SARS, otros sitios de información sobre virus y seguridad (además de Hispasec), chistes, etc., todos en español. Además del e-mail, el gusano utiliza los programas de archivos de intercambio P2P, entre otros Kazaa, eDonkey o Morpheus, copiando el gusano en las carpetas que estos programas utilizan para compartir los archivos e infectar así al resto de la comunidad. El sistema de monitorización de nuestro servidor ha detectado un aumento inusual en el tráfico de entrada, lo que ha permitido detectarlo de forma temprana. Este tráfico era provocado por rebotes provenientes de Hotmail debido a que el e-mail con el que se ha distribuido tenía como "reply-to" una cuenta que simulaba nuestro dominio de origen. Si en las próximas horas se detectan incidencias reales de usuarios infectados, procederemos a enviar una nueva nota ya con un análisis más detallado.
|
