En varias oportunidades hemos comentado sobre la ola de amenazas que se propagan aprovechando aplicaciones de mensajería instantánea. Tal es el caso de esta amenaza que simula ser una animación realizada en flash haciendo alusión a Bush.

En los últimos días ha aparecido una nueva variante de este malware, un gusano de Internet que pesa 80 KB y se propaga a través de aplicaciones de mensajería instantánea desplegando un enlace junto al siguiente mensaje “Hey, mira esta animación de bush”. ESET NOD32 lo detecta como Win32/VB.NLY.

Mensaje malicioso

Al ser ejecutado, el código malicioso no nos devuelve ningún mensaje e inmediatamente podemos observar que se levanta un proceso con el nombre “bush.exe”. Este proceso se encarga de descargar a la computadora comprometida otros códigos maliciosos. Esta situación cambia al pasar unos segundos ya que este proceso se cierra y levanta otros dos para luego, después de reiniciar la computadora, levantar más procesos maliciosos.

Procesos maliciosos

 

Para ello, el gusano modifica el registro del sistema agregando las claves que se observan en la captura.

Manipulación del registro

Por otro lado, copia los archivos descargados en la carpeta X:WINDOWS y X:System32 (donde X es la letra de unidad en la que se encuentra instalado el sistema operativo), e intenta conectarse a diferentes páginas web. En la siguiente captura podemos observar los nombres con los cuales el malware se copia en la computadora y una de las direcciones web a las que se conecta, en este caso almacena direcciones IP de las computadoras infectadas.

Copias de malware y página web con direcciones IP

 

Recuerden que para mantener su computadora protegida se debe evitar hacer clic sobre cualquier enlace que nos llegue, ya sea por correo electrónico o por mensajería instantánea, además de mantener actualizadas las aplicaciones que cotidianamente utilizamos.

Jorge