Virus y Troyanos

Según informa www.spamfo.co.uk, la empresa Messagelabs ha detectado la circulación de un correo que hace referencia a vídeos inéditos de los ataques terroristas de Londres, pero que no esconde más que un troyano destinado a tomar el control de sistemas Windows.

08-07-2005 - El correo en cuestión se presenta como un email oficial de la CNN, y promete vídeos inéditos tomados por transeúntes y que recogen nuevos puntos de vista de la tragedia vivida el 7 de julio en Londres. La dirección del remitente (falsa) es breakingnews@cnnonline.com y el asunto: TERROR HITS LONDON. Al email lo acompaña un archivo adjunto que esconde el virus.

El virus que esconde utiliza las técnicas habituales para intentar ejecutarse cada vez que la máquina es encendida, e instala pequeños motores SMTP que permiten enviar correo basura desde el ordenador infectado.

El número de infectados no deja de ser anecdótico comparado con otros virus recientes, aunque el número de emails cargados con el virus supuso un pico importante de tráfico durante la misma mañana de los atentados.

Lo interesante de este virus es su forma de intentar ser ejecutado e infectar los sistemas. Por un lado aprovecha una circunstancia trágica de la que se ha ofrecido poca información gráfica en los medios. Aprovecha así la morbosa curiosidad de muchas personas que buscan en internet lo que no le encuentra en la prensa escrita o audiovisual tradicional. Sorprende la rapidez con la que se idea, prepara y pone en circulación el virus, sólo horas después de los atentados.

Además, el nombre del fichero adjunto que debe ejecutar el usuario para infectarse, contiene una típica doble extensión (simula ser un video en formato AVI, pero en realidad es un ejecutable) muy bien camuflada. Así, se observa que en el propio nombre del archivo, se han insertado gran cantidad de espacios para que el usuario desvincule mentalmente los dos "trozos" de nombre, y el fichero se presente finalmente como un video AVI que ha sido comprobado por el antivirus Norton:

"London Terror Moovie.avi <124 espacios> Checked By Norton Antivirus.exe"

cuando en realidad, este archivo no es más que un ejecutable con extensión EXE y nombre inusualmente largo que infectará al incauto cuando se ejecute bajo el sistema operativo Microsoft Windows.

Afortunadamente, la mayoría de servidores de correo filtra directamente las extensiones ejecutables, impidiendo que lleguen a los clientes de correo de los usuarios, o son profusamente analizadas por los antivirus, a los que les basta con observar la doble extensión para calificar al fichero de, como mínimo, sospechoso.

Más información y referencias:

New Email Virus Poses As London Terrorist Attack News Footage
http://www.spamfo.co.uk/component/option,com_content/task,view/id,347/Itemid,2/

Sergio de los Santos
http://hackpasoapaso.tk