|
Algunas compañías desarrolladoras de soluciones de seguridad
alertan sobre la aparición el pasado 28 de noviembre de Eira,
un gusano que se hace pasar por una demo del conocido juego de
PC, Quake4. El archivo adjunto de extensión .EXE y 56 kb de
tamaño esconde un troyano capaz de sobrescribir archivos de los
equipos que infecta siempre que tengan instalados los sistemas
operativos Microsoft Windows 95/98/NT/2000/Me o servidores
NT/2000. Además, se reenvía masivamente a través del correo
electrónico a todas las direcciones incluidas en la libreta de
direcciones de la víctima.
El e-mail que contiene el gusano tiene las siguientes
características:
Remitente: utiliza la dirección de correo de la persona
anteriormente infectada.
Asunto, elegido de forma aleatoria de entre los siguientes:
Something very special
I know you will like this
Yes, something I can share with you
Wait till you see this!
A brand new game! I hope you enjoy it
Texto del mensaje, seleccionado al azar de entre éstos:
Is Internet that safe?
Check it out
Hey you, take a look at the attached file. You won't believe
your eyes when you open it!
You like games like Quake? You will enjoy this one.
Did you see the pictures of me and my battery operated boyfriend?
My best friend
This is something you have to see!
Till next time
Adjunto, alguno de los siguientes:
Quake4demo.exe
Honey.exe
Setup.exe
Cuando el usuario ejecuta el archivo adjunto se muestra una
caja de texto en la que aparece el logotipo del juego y el
siguiente mensaje:
Rocket Arena 3
Welcome to Rocket Arena 3
This program will install Rocket Arena 3 into your Quake4
directory
It will also install the full version of Quake4
Once instaled, you can play Rocket Arena 3 by launching it
with the icon on the Start Menu.
"Next " "Cancel"
Pese a que pueda parecer raro, si el internauta decide
instalar la supuesta demo y elige "Next" no ocurre
nada, el problema se presenta cuando pincha "Cancel",
entonces se ejecuta Eira. La primera acción que desarrolla es
copiarse en la carpeta C:\Windows con los siguientes nombres:
C:\Windows\Quake4demo.exe, C:\Windows\Honey.exe y C:\Windows\Setup.exe.
Luego crea su propia carpeta bajo el nombre C:\Eira donde se
copia como Quake4demo.exe y en el caso de que exista el disco F,
también se copia con ese mismo nombre. Con el fin de ejecutarse
cada vez que se reinicie Windows, modifica la clave de registro
HKLM\Software\Microsoft\Windows\Current\Version\Run.
Su rutina final es destructiva puesto que tiene como misión
reemplazar todos los archivos con extensión .EXE que se
encuentren en la misma carpeta que él por el siguiente mensaje
de 199 bytes de tamaño:
You've didn't protected your files well enough
Let this be a lesson! Never trust someone else
eiram 1999-2001
La compañía F-Secure Corporation alerta sobre la
posibilidad de que el gusano sobrescriba también documentos con
estas extensiones: .OCX, .EXE, .XLS, .DOC, .MDB, .HTM, .HTML y .TXT.
También hay que señalar que los archivos dañados por Eira
no se pueden recuperar siendo necesario reemplazarlos por
originales limpios.
Las recomendaciones pasan, una vez más, por actualizar las
soluciones anti-virus diariamente y, como no, por no ejecutar
archivos adjuntos sin antes escanear su contenido aunque el
mensaje provenga de destinatarios conocidos.
|
