Infección por gusano que dice ser parcheMuchas casillas de correo electrónico resultaron invadidas por una nueva variante del Win32/Nuwar.gen. Irónicamente, el gusano se presentó como una supuesta alerta de virus.
Los mensajes conteniendo la amenaza real superaron casi 60 veces el volumen diario de tráfico normal según los reportes.
Para eludir la detección por parte de los antivirus, el archivo adjunto se encuentra en un formato comprimido protegido con contraseña.
Es algo común y sensato desconfiar de las extensiones ejecutables que se reciben por correo. Pero para algunos los archivos con extensión .ZIP pueden parecer más seguros.
Algunos textos utilizados para el asunto son:
Worm Alert!
Worm Detected
Virus Alert
ATTN!
Trojan Detected!
Worm Activity Detected!
Spyware Detected!
Dream of You
Virus Activity Detected!
Posibles nombres del adjunto:
patch-12345.zip
bugfix-12345.zip
hotfix-12345.zip
removal-12345.zip
Donde "12345" son de 4 a 5 dígitos al azar.
El texto del mensaje, recomienda instalar el archivo adjunto, al que identifica como un parche para detener al supuesto virus que causa la alerta.
La contraseña para abrir el adjunto es visible en el texto del mensaje, pero solo si se lee el mismo en formato HTML, ya que en realidad no se trata de un texto, sino una imagen. Aquellos que lean los mensajes en formato solo texto no verán el contenido de la alerta, y por lo tanto tampoco la contraseña, evitando la tentación de descomprimirlo para investigar que es.
De ejecutarse el malware, el mismo intenta evadir cualquier posible detección por parte del usuario o de un antivirus. Una vez oculto intentará deshabilitar cualquier aplicación de seguridad y conectarse a Internet para llevar a cabo algunas de las posibles acciones: descargar otros troyanos, enviar spam o transmitir datos confidenciales del ordenador infectado. Finalmente se envía a todos los contactos y direcciones encontrados en el sistema.
El troyano es detectado por NOD32 después de ser extraído y antes de ejecutarse, bajo el nombre de Win32/Nuwar.Gen, protegiendo de este modo al usuario del peligro.
Se recomienda no abrir mensajes ni archivos adjuntos no solicitados. Nunca haga doble clic o ejecute archivos que lleguen en correos electrónicos sin importar su extensión, dado que puede ser falsa.
El uso de antivirus actualizado es un requisito imprescindible.
Fuente: Enciclopedia Virus
Infección por gusano que dice ser parche
Apr 15 2007, 06:30 AM
Vaya, picara alguno el ansuelo, ya se puede esperar cualquier cosa, los piratas hacen de todo para distribuir sus creaciones 
