Tres nuevas amenazas para usuarios de Instant Messaging

9 Mar 2005 en Seguridad

– Fatso.A, Kelvir.B y Kelvir.C se propagan a través de MSN Messenger. Los dos últimos, además, descargan y ejecutan en los equipos variantes de las familias de troyanos Gaobot o Sdbot, que permiten el control remoto de los ordenadores afectados

– Fatso.A incluye un texto respondiendo al mensaje que mostraba el gusano Assiral.A, que hacía alusión a la familia de gusanos Bropia

– Ante la más que previsible aparición de nuevos códigos maliciosos que hagan uso de mensajería instantánea para propagarse, Panda Software recomienda extremar las precauciones con los mensajes recibidos a través de este medio

Buenos Aires, 8 de marzo de 2005

Los creadores de virus siguen revelando su enorme interés por la mensajería instantánea como vía para la propagación rápida de códigos maliciosos. PandaLabs ha detectado la aparición de tres nuevos gusanos -Kelvir.B, Kelvir.C y Fatso.A- diseñados para distribuirse rápidamente a través de la aplicación MSN Messenger.

Los nuevos gusanos Kelvir llegan al ordenador en mensajes con textos como: “omg this is funny!” (Kelvir.B) o “lol! see it! u’ll like it” (Kelvir.C), e incluyen un link a una dirección de Internet. En caso de que el usuario acceda a esta última, se descargan e instalan archivos conteniendo el código de los gusanos. Éstos envían nuevos mensajes a las entradas que figuran en la lista de contactos de MSN Messenger. Al mismo tiempo, descargan en el sistema -desde otra dirección web- variantes de los troyanos Gaobot o Sdbot que, a través de canales de chat IRC, permiten a un atacante hacerse con el control remoto del sistema afectado. Es importante señalar que todas las páginas de Internet desde las que se descargan los gusanos Kelvir, los troyanos Sdbot, o Gaobot, ya han sido bloqueadas, lo que impide que sigan distribuyéndose. Sin embargo, mientras las páginas han estado operativas, la red internacional de servicio de Soporte Técnico de Panda Software ha detectado una amplia propagación de Kelvir.B y Kelvir.C en los equipos de usuarios de todo el mundo.

El gusano Fatso.A envía mensajes con links hacia una página desde la que se descarga y ejecuta un archivo que contiene su propio código. Una vez en el equipo, se envía a todos los contactos de MSN Messenger y descarga otros ficheros en el directorio raíz del sistema. Éstos tienen nombres tales como “Annoying crazy frog getting killed.pif”, “Crazy frog gets killed by train!.pif” o “Fat Elvis! lol.pif”. Además, este gusano también es capaz de propagarse a través de aplicaciones P2P tipo KaZaA. Para ello, crea archivos con copias de sí mismo en los directorios compartidos que utilizan este tipo de programas.

Fatso.A también finaliza los procesos en memoria de varias aplicaciones de seguridad informática, dejando el ordenador desprotegido frente a otros posibles ataques.

Por otra parte, Fatso.A continúa la ciberguerra entre autores de virus que se inició con la aparición del gusano Assiral.A, y que mostraba un texto en el que atacaba a los gusanos Bropia. En contestación a ello, Fatso.A crea en los sistemas a los que afecta un archivo llamado “Message to n00b LARISSA.txt”, y que contiene un mensaje poco amistoso hacía el autor de Assiral, firmado por alguien que se hace llamar Skydevil.

Luis Corrons, director de PandaLabs, advierte: “Es más que probable que en las próximas horas aparezcan nuevos gusanos que hagan uso de MSN Messenger, por lo que deben extremarse las precauciones a la hora de manejar los mensajes recibidos a través de este medio. La situación para los usuarios de aplicaciones de mensajería instantánea es cada vez más peligrosa. A los nuevos códigos maliciosos hay que unir otras 20 variantes del gusano Bropia y dos del gusano Stang detectadas en los últimos días, y que también se propagan usando el mismo medio. Por otra parte”, añade, “hay que destacar, además del creciente interés de los ciberdelincuentes por la mensajería instantánea, la tendencia de realizar ataques combinados. Por ejemplo, el objetivo de los nuevos gusanos Kelvir no es solamente propagarse lo más ampliamente posible, sino instalar en los ordenadores otro malware. Estos pueden servir para llevar a cabo todo tipo de acciones, como la realización de estafas online utilizando datos confidenciales robados en las máquinas afectadas”.

Ante la posibilidad de un encuentro con algún código malicioso que se propague utilizando mensajería instantánea, Panda Software recomienda utilizar un software antimalware adecuado y mantenerlo siempre actualizado, así como extremar las precauciones con los mensajes recibidos, sea cual sea su procedencia. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección tanto de Kelvir.B, Kelvir.C y Fatso.A, como del resto de códigos maliciosos que hacen uso de la mensajería instantánea para propagarse.

Asimismo, los clientes de Panda Software ya tienen disponibles las actualizaciones para instalar las nuevas Tecnologías TruPreventTM junto con su antivirus y estar, así, protegidos de forma preventiva frente a virus e intrusos desconocidos. Por otro lado, para usuarios que cuenten con otros antivirus del mercado, Panda TruPreventTM Personal es la solución idónea, ya que es compatible y complementaria a éstos y proporciona una segunda línea de defensa y una protección preventiva que actúa mientras el antivirus es actualizado, disminuyendo el riesgo de ser infectados. Más información sobre las Tecnologías TruPreventTM en http://www.pandasoftware.es/truprevent

Para la detección y desinfección gratuita de los ordenadores, los usuarios pueden utilizar el antivirus on-line Panda ActiveScan, disponible en http://www.panda-argentina.com.ar

Más información sobre los códigos maliciosos mencionados en la Enciclopedia de Virus de Panda Software, en la dirección http://www.pandasoftware.es/virus_info/enciclopedia/