Recientemente hemos aprendido acerca de la existencia de un nuevo gusano de Yahoo! Messenger, haciendo las rondas en internet. Las víctimas potenciales reciben mensajes instantáneos de su lista de contactos, que contiene un vínculo que alegan ser una foto, pero que en realidad apunta a un ejecutable malintencionado.

La página al final del vínculo es básica y no emplea ningún exploit con el fin de instalar el gusano, se basa únicamente en la ingeniería social para engañar a las víctimas a creer que están abriendo una foto de un amigo, mientras que de hecho se está ejecutando el gusano.

Cuando se hace clic en el vínculo, el navegador predeterminado es redirigido al ejecutable del gusano, que tiene un nombre engañoso. Por favor, tenga en cuenta que la extensión de archivo es realmente “.exe”. Con el fin de ejecutarse el gusano todavía necesita la acción del usuario abriendo ó ejecutando el archivo.

Una vez que se ejecuta, el gusano se copia a si mismo a %WinDir%infocard.exe, a continuación se agrega a la lista del Firewall de Windows, deteniendo el servicio de actualizaciones de Windows y agrega al registro el siguiente valor para que se ejecute cada vez que arranque el sistema:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun “Firewall Administrating” = “%WinDir%infocard.exe”

A continuación, busca la aplicación de Yahoo! Messenger en el sistema y envía enlaces para el gusano a todos en su lista de contactos.También puede descargar y ejecutar otros archivos maliciosos.

Cuando se ejecuta la primera vez, el gusano abrirá una nueva página a la siguiente dirección, por lo que algunas fotos finalmente aparecen para el usuario, con el fin de enmascarar la infección: browseusers.myspace.com/Browse/Browse.aspx

Symantec detecta y elimina esta amenaza como W32.Yimfoca.

Recomendamos a los usuarios de Yahoo! Messenger a ser especialmente cuidadosos con los tipos de archivos que están abriendo, y incluso ser cautelosos con enlaces recibidos de contactos bien conocidos y de confianza. Muchas veces se puede evitar convertirse en una víctima simplemente pidiendo al contacto que envió el enlace si es real ó no.

Traducción: Velcro

Fuente: Symantec Security Response Blog

Anuncios