El pasado sábado el Centro de Protección de la Infraestructura Nacional o NIPC dependiente del FBI alertaba desde su página web sobre la aparición de un gusano que podría provocar ataques de denegación de servicio en los sistemas. W32-Leaves que así se llama la nueva amenaza, se instala sobre equipos previamente comprometidos por el troyano SubSeven.

Desde su aparición en 1999, SubSeven no solo se ha convertido en el arma preferida de los piratas para controlar de forma remota PC's bajo Windows y producir ataques DDoS sino además ha sufrido una constante evolución: en marzo de este año informábamos de la aparición de la versión 2.2 con capacidades más destructivas que sus predecesoras.

W32-Leaves consta de tres componentes: dos archivos DLL y un ejecutable EXE que toma diferentes nombres en cada infección para evitar su detección y que cuando se ejecuta copia el código maligno en el directorio del sistema.

Según declaraciones de Vincent Gullotto, director del equipo de investigación anti-virus de Network Associates (NAI), W32.Leaves añade códigos sobre el equipo atacado y sincroniza el reloj interno con el del Observatorio Naval americano "lo que podría dar indicios de una próxima actividad por parte del gusano".

Además, NAI ha podido comprobar que el gusano envía información sobre los equipos atacados a una página web, que ya ha sido eliminada del servidor.

Desarrolladores anti-virus como F-Secure Corporation, Symantec o Trend Micro recogen en sus enciclopedias de virus on-line información sobre este troyano del que sólo se conocen tres ataques hasta el momento, motivo por el cual NAI lo califica de riesgo medio.

Una vez más la recomendación de los expertos es que los usuarios deben mantener su software anti-virus lo más actualizado posible para evitar cualquier tipo de infección por nuevos virus, pero además y dado que el nuevo gusano ataca a sistemas Windows, Windows NT y Windows 2000, es imprescindible instalar los parches que corrigen las últimas vulnerabilidades descubiertas en éstos.