Días atrás mencionabamos los nuevos casos del gusano Nuwar que habían aparecido con motivo de la navidad.
El día de hoy el Laboratorio de ESET Latinoamérica ha encontrado al menos 3 dominios relacionados a estas fiestas y creados entre el 25 y el 27 de diciembre. Estos sitios web alojan contenido dañino, todos ellos nuevas variantes de Nuwar.
En la siguiente imagen puede apreciarse uno de estos sitios alojando un script que permite la descarga de una variante que ESET NOD32 detecta como Win32/Nuwar.BC.
Debido a la amplia repercusión por correo electrónico que este gusano ha tenido en el último tiempo, esta vez sus autores no han elegido el spam como medio de propagación sinó la utilización de los clásicos sitios mostrado en la imagen y la creación de post falsos en diversos blogs de Blogger (propiedad de Google).
Luego de infectar un equipo, el gusano verifica que el usuario ingrese a su cuenta de Blogger y luego de obtenidas las credenciales de acceso, postea automáticamente mensajes aleatorios y un enlace a sí mismo.
De esta forma, cualquier persona que ingrese al blog afectado, creará que su autor ha posteado el mensaje falso, haciendo clic sobre el enlace que se ofrece y descargando un archivo ejecutable (el gusano). De esta manera el nuevo usuario será infectado.
Si el sistema del usuario está desactualizado y no han sido aplicados las actualizaciones de productos como navegadores web, reproductores multimedia, o mensajeros electrónicos, los enlaces mencionados generalmente redirigen al usuario a dominios gratuitos de Geocities, que contienen exploits que permiten descargar el archivo ejecutable sin intervención del usuario y explotando vulnerabilidades del sistema.
Como siempre la recomendación es actualizar el sistema operativo y todas las aplicaciones, instalar un producto antivirus con capacidades proactivas como ESET NOD32, instalar un firewall personal como el de ESET Smart Security y mantenerse informado sobre las nuevas funcionalidades del malware.
Cristian