Virus informáticos, un regalo sorpresa de Navidad

El espíritu navideño no parece afectar a los creadores de virus, que por estas fechas adaptan sus métodos para lograr que el usuario permita sin saberlo la instalación de software dañino en su ordenador. IMLogic advierte esta semana sobre un ataque contra las redes de mensajería instantánea en el que la descarga de una foto de Papá Noel da paso al virus. Panda Labs advierte hoy sobre un ataque similar a través del correo electrónico.

La compañía de seguridad IMLogic advierte que son varias las redes de mensajería instantánea afectadas por un 'gusano' al que ha dado el nombre de IM.GiftCom. Cuando éste infecta un sistema, se reenvía a si mismo a través de las redes de AIM, ICQ, MSN y Yahoo!.

Así, lo que recibe el usuario de estos servicios es un enlace que proviene de un conocido, con el texto 'gift' (regalo). Cuando hace clic en él se muestra una imagen de Papá Noél, pero de forma inadvertida el virus ya ha empezado a colarse en el sistema, donde instala un software conocido como rootkit, que permite realizar múltiples acciones sin conocimiento del usuario.

Lo primero que hace es escanear el registro del sistema operativo, el sistema de ficheros y los archivos temporales de Internet sin que los programas antivirus se den cuenta de esta actividad. Pese a ello, el programa se encarga también de desactivar esta protección. Así no podrá detectarse otra de sus actividades, el registro de las contraseñas que se tecleen en el equipo infectado.

IM.GiftCom intenta además que el usuario descargue una variante de otro gusano llamado Sdbot, que usa el protocolo de comunicaciones de las salas de chat para crear una puerta trasera por donde podría colarse cualquier atacante.

Felicitación envenenada

La advertencia de IMLogic no es la única que vincula supuestos regalos navideños con amenazas para la seguridad informática. Panda Software ha detectado un nuevo troyano, MerryX.A, que utiliza motivos navideños para distraer la atención del usuario, mientras está llevando a cabo su proceso de infección. Este troyano, que ha sido distribuido por medio de mensajes de correo electrónico, tiene como principal objetivo recoger información del sistema.

El proceso de infección comienza con la llegada de un correo electrónico titulado "MERRY CHRISTMAS!", y que únicamente contiene una frase en el cuerpo del mensaje: "Merry Christmas and a Happy New Year!". El correo contiene dos ficheros adjuntos: una imagen animada, de nombre A_LIGHTSMC10.GIF -que muestra un letrero con la palabra "Merry Christmas" adornada con luces de colores-, y un fichero comprimido en formato RAR, que posee en su interior dos ficheros: una copia del troyano (llamada SQLServer.exe), y una animación Flash.

El fichero RAR autoextraíble es el que desata el proceso de infección. Cuando es ejecutado abre la animación con música, de fondo rojo y que muestra a Papá Noel depositando regalos en un árbol de Navidad, pero inmediatamente inicia la ejecución del propio troyano de forma oculta, por lo que el equipo se habrá infectado sin que el usuario se haya dado cuenta.

Una vez en ejecución, MerryX.A registra información del ordenador en el que "reside", como puede ser dirección IP, datos del hardware, etc, y la envía a un servidor remoto. También intenta descargar archivos desde diferentes páginas web, por lo que este troyano también podría ser punto de entrada de otros ejemplares de malware.

"MerryX.A es uno más en la lista de malware que se aprovecha del envío de felicitaciones por correo en estas fechas", señala Luis Corrons, director de PandaLabs. "Pero en ningún caso sus acciones deben ser desdeñadas, ya que además de ser punto de entrada de otras amenazas, el robo de información del ordenador puede dar lugar a suplantación de identidad de la persona atacada, con las consecuencias que ello pueda tener".