Trend Labs lanza Alerta amarilla por epidemia informática

6 Feb 2005 en Seguridad

La semana pasada se detectó un nuevo ejemplar de la familia WORM_BROPIA, al que se asignó la clave F y que se reproduce rápidamente en México, Bolivia, Corea, China, Taiwán y los Estados Unidos.

WORM_BROPIA.F es un gusano informático residente en memoria, que se propaga a través del popular sistema de mensajería instantánea MSN Messenger. Al infectar una máquina, repite el proceso y reenvía copias de sí mismo a los contactos del nuevo usuario infectado.

Entre los países donde más infecciones se han reportado están México y Bolivia, por lo que se alerta a los usuarios de la región latinoamericana a tener especial precaución con este nuevo código malicioso.

El proceso infeccioso se lleva a cabo de la siguiente forma: un usuario conectado a su cuenta de MSN Messenger puede recibir un mensaje de uno de sus contactos, a través del cual pretende transferirle un archivo con alguno de los siguientes nombres:

· Bedroom-thongs.pif  · Hot.pif  · LMAO.pif
· LOL.scr  · Naked_drunk.pif  · New_webcam.pif
· ROFL.pif  · Underware. Pif  · Webcam.pif

Si el usuario aceptara el archivo, el gusano se ejecuta e infecta el sistema y se empieza a propagar entre los contactos en línea del nuevo usuario infectado. Además, para ocultar su rutina de propagación, utiliza un recurso humorístico, al abrir un archivo llamado SEXY.JPG, en el que aparece una imagen satírica.
También deja una copia de sí mismo en el directorio raíz (usualmente C:\\) con el nombre MSNUS.EXE, y otra copia más con uno de los nombres descritos arriba.

WORM_BROPIA.F no sólo despliega la descrita rutina de propagación. También copia y ejecuta un archivo con el nombre WINHOST.EXE, otro gusano que es identificado por los productos de Trend Micro como WORM_AGOBOT.AJC. Este es un programa robot que, entre otras consecuencias, roba las claves de diversos programas e instala un componente de puerta trasera en la computadora infectada, permitiendo a usuarios malintencionados la ejecución comandos remotos en el sistema.

Como regla general y principal medida preventiva, los usuarios de computadoras deben mantenerse atentos y no aceptar la transferencia de ningún archivo no solicitado enviado a través de MSN Messenger, aunque este provenga de uno de sus contactos. Por su parte, los administradores de redes corporativas pueden bloquear la transferencia de archivos a través de MSN Messenger para controlar la propagación al interior de sus redes.

Trend Micro ha liberado ya el patrón de virus número 2.390.00 para detectar este gusano y prevenir infecciones por WORM_BROPIA.F. Los clientes de los Servicios de Prevención de Epidemias deben que descargar la OPP 144 (o posterior) para ayudarles a protegerse contra la propagación de esta amenaza. Para los clientes de los Servicios de Limpieza de Daños (Damage Cleanup Services), deben actualizar la plantilla de Limpieza de Daños #505 para ayudarles con la restauración de los sistemas afectados.

Otros usuarios pueden utilizar Housecall, el escáner antivirus en línea gratuito de Trend Micro, que se puede encontrar en http://housecall.trendmicro.com/

Para obtener información adicional sobre este código malicioso, así como reportes actualizados de su actividad, por favor visite:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FBROPIA%2EF&VSect=P