PES.- El Centro de Respuesta a Incidentes de Seguridad TIC (CERT) de Inteco avisa de la aparición de Hary,
gusano que se hace pasar por una copia del libro «Harry Potter and the
deathly hallows» y se propaga a través de dispositivos USB. Cuando Hary
se ejecuta el gusano crea un documento de Word con el nombre de la
novela y posteriormente lo abre dejándolo abierto en segundo plano.
La barra del título de Internet Explorer es modificada por el texto
"JK Rowling Owns You" (JK Rowling te posee) y crea un fichero llamado
harry.txt con un texto en inglés que se podría traducir como: “Harry
Potter es idiota, también lo es Daniel. Ron Weasley es feo, pero, ¿a
quién le importa? Hermione es guapa y explotada, pero, ¿a quién le
importa? Dumbledore es viejo y demacrado, pero, a ¿quién le importa? JK
Rowling es una ex-bruja, pero, ¿a quién le importa? Apuesto a que no lo
sabías. Todo lo que importa es que.... ¡Harry Potter va a morir! OK,
ahora puedes conseguir una copia de ese tonto libro de Harry Potter.”
Posteriormente el gusano crea un fichero de procesamiento por lotes
(.bat) que al ser ejecutado muestra por pantalla un texto en inglés que
se podría traducir como: “Lee y arrepiéntete, el fin esta cerca,
arrepentíos, ¡o gente!, de vuestras sendas diabólicas no sea que vayáis a
arder en el infierno.... Sobre todo JK Rowling”.
Después cambia la página de inicio para que muestre un libro de
Amazon que resulta ser una parodia de Harry Potter (Harry Putter and the
chamber of cheesecakes), paralelamente reduce los niveles de seguridad
de internet y se propaga a través de todas las unidades extraíbles
conectadas al sistema.
También avisa sobre Obvod.K,
troyano para la plataforma Windows que recibe instrucciones remotas
para visitar páginas web, descargar archivos e inyectar publicidad en
páginas web mediante iFrames. Se ejecuta una vez cada hora.
El troyano carece de rutina propia de propagación, por lo que puede
llegar al sistema descargado por otro código malicioso, al visitar una
página web infectada, descargado sin el conocimiento del usuario o
descargado a través de algún programa de compartición de ficheros (P2P).
El troyano crea 24 archivos .job para poder ejecutarse una vez cada
hora del día. El troyano se conecta a un servidor remoto determinado
para recibir archivos cifrados que guarda en la carpeta de archivos
temporales. Estos archivos contienen una lista de páginas web para
visitar o de archivos que descargar. A continuación lanza Internet en
segundo plano y comienza a visitar ese listado de páginas de forma
transparente al usuario. Al acceder a esas direcciones se descargará
nuevo malware.
Por otra parte el troyano inyecta diversas etiquetas iFrame a páginas
web de publicidad en la navegación normal del usuario. También modifica
el registro de Windows para que Internet Explorer no muestre un cuadro
de dialogo de error cuando se produzca algún error en la navegación.
Como medida de protección Inteco-CERT recomienda mantener el sistema operativo y los programas del ordenador actualizados, así como tener instalado un antivirus.Si tiene cualquier problema de seguridad, Inteco y la Oficina de seguridad del Internauta OSI le ofrece los siguientes servicios gratuitos: boletines gratuitos de seguridad, el asistente de seguridad, el foro, y el servicio de atención telefónica (901 111 121).
Enlaces:
Fuente: www.periodistas-es.org
No hay comentarios:
Publicar un comentario