Panda SecurityInternet Software 

¿Es tu nueva foto de perfil? No, es un gusano que se propaga a través de Skype y Messenger

Desde el pasado sábado, hay un gusano propagándose activamente, sobre todo a través de Skype, y MSN Messenger.

Alguien infectado con el gusano podría enviarte el siguiente mensaje “Lol, ¿Esta es tu nueva foto de perfil? (en diferentes idiomas):

El link apunta a goo.gl el servicio de acortador de links de Google. Este link lleva a Hotfile.com, un sitio web de intercambio de ficheros. (No es la primera vez que Hotfile es utilizado para propagar malware.

Lo bueno es que el fichero Zip no es un ejecutable, lo que significa que el usuario tendrá que descomprimir y ejecutar el malware. Dentro del fichero Zip encontramos el siguiente fichero, que se hace pasar por un fichero de inicio de Skype.

Al ejecutar este fichero, otro más (con 4 caracteres aleatorios EXE) se descargará en la carpeta %appdata% del usuario.

El fichero tratará de conectarse a api.wipmania.com, esperando instrucciones. Además, también trata de conectarse a las diferentes direcciones IP:

74.208.112.178
87.106.98.157
199.15.234.7
213.165.71.142
213.165.71.153
217.160.108.147

Ahora que sabemos cómo se propaga. ¿Qué mensajes puede mostrar? El fichero que se extrae del fichero ZIP –skype_05102012_image.exe muestra los siguientes procesos:

msnmsgr.exe
msmsgs.exe
skype.exe

Automáticamente envia un mensaje basado en el idioma del sistema operativo. Utiliza la siguiente lista para propagarse:

tas ir jusu jauna profila bildes?

seo do grianghraf prl nua?

ont uusi profiilikuva?

nai aft a fotografa profl sas?

sa kvo profili lusankary aquesta

s la teva nova foto de perfil?

hey ito sa iyong larawan sa profile?

hey lanh tieu cua ban?

hey ini foto profil?

hei zhni de gn zilio zhopin ma?

ni phaph porfil khxng khun?

hej er det din nye profil billede?

hej je to vasa nova slika profila?

hej je to tvuj nov obr zek profilu?

hei er dette din nye profil bilde?

hey la tua immagine del profilo nuovo?

hej to jest twj nowy obraz profil?

hej jeli ovo vasa nova profil skila?

hey bu yeni profil pic?

hej detta är din nya profilbild?

tung, cka paske lyp ti nket fotografi?

moin , kaum zu glauben was für schöne fotos von dir auf deinem profil

hey is dit je nieuwe profielfoto?

ez az j profil ksta tu foto de perfil nuevo?

hey essa sua foto de perfil? rsrsrsrsrsrsrs

hey c’est votre nouvelle photo de profil?

hoi schoni fotis hesch du uf dim profil ppe n

lol is this your new profile pic?

Después añadirá un link y el nombre de usuario tras el signo ‘=’ :
http://goo.gl/QYV5H?img=

El malware es identificado por Panda como W32/SpySkype.G.worm, y se propaga a través de programas de mensajería instantánea y redes sociales. Algunas variantes pueden recoger nombres de usuario y contraseñas y bloquear sitios webs relacionados con actualizaciones de seguridad, además de poder lanzar ataques de denegación de servicio (DoS).

En algunos casos también puede descargar otros ejemplares de malware, como falsos antivirus, y ransomware.
Conclusión

Los gusanos que se propagan a través de Facebook, Twitter, canales de IRC, Skype, etc, no son nada nuevo. Sin embargo parecen ser muy exitosos ya que en caso de duda, la curiosidad siempre gana. “¿De verdad tengo fotos embarazosas en este sitio web? ¡Vamos a probar!

¡No, no, no!

Nunca pinches en links provenientes de fuentes desconocidas, y desconfía de los servicios de acortadores de links.

Cuidado de los iconos o ficheros con descripción o apariencia legítima. Pueden ser fácilmente modificados.

Incluso si pinchas en un link que no sea sospechoso, desconfía de los ficheros que se descargan y no muestran imágenes, sino un fichero EXE.

Para ver qué hay realmente tras un URL acortado, puedes usar:

http://getlinkinfo.com/
http://longurl.org/

Por último, ten siempre tu antivirus actualizado. Aquí te dejamos una versión de 6 meses gratis de Panda Cloud Antivirus Pro.

Sobre Panda Security

Fundada en 1990, Panda Security es la empresa líder a nivel mundial en soluciones de seguridad basadas en la nube. La compañía cuenta con productos traducidos a más de 23 idiomas y millones de clientes en 195 países. Panda Security fue la primera empresa de seguridad informática en aprovechar el potencial del ‘Cloud Computing’ con su tecnología de Inteligencia Colectiva. Este innovador modelo de seguridad puede analizar y clasificar de forma automática miles de nuevas muestras de malware al día, proporcionando a los clientes corporativos y a los usuarios domésticos la protección más eficaz contra las amenazas de Internet con mínimo impacto sobre el rendimiento del PC. Panda Security cuenta con 56 oficinas repartidas por todo el mundo y oficinas centrales en Estados Unidos (Florida) y Europa (España). Como parte de su política de Responsabilidad Social Corporativa, Panda Security colabora con WWF e Invest for Children. Para más información, visite http://www.pandasecurity.com/.

Relacionados

Deja un comentario