Ayer mencionabamos los nuevos casos del gusano Nuwar que habían aparecido con motivo de la navidad.
El día de hoy el Laboratorio de ESET Latinoamérica ha encontrado al menos 3 dominios relacionados a estas fiestas y creados entre el 25 y el 27 de diciembre cuyo sitios web alojan contenido dañino, todos ellos nuevas variantes de Nuwar.
En la siguiente imagen puede apreciarse uno de estos sitios alojando un script que permite la descarga de una variante que ESET NOD32 detecta como Win32/Nuwar.BC.
Debido a la amplia repercusión por correo electrónico, que este gusano ha tenido en el último tiempo, esta vez no ha elegido el spam como medio de propagación sinó la utilización de estos clásicos sitios mostrado en la imagen y la creación de post falsos en diversos blogs de Blogger (propiedad de Google).
Luego de infectar un equipo, el gusano verifica que el usuario ingrese a su cuenta de BlogSpot y luego de obtenidas las credenciales de acceso postea automáticamente mensajes aleatorios y un enlace a sí mismo.
De esta forma, cualquier persona que ingrese al blog afectado, creará que su autor ha posteado el mensaje falso, haciendo clic sobre el enlace que se ofrece y descargando un archivo ejecutable (el gusano). De esta manera el nuevo usuario será infectado.
Los enlaces mencionados generalmente redirigen al usuario a dominios gratuitos de Geocities, que contienen exploits que se encargan de descargar archivos dañinos y ejecutarlos sin acción del usuario.
Aquí radica la importancia de mantener un firewall activo, el software y el antivirus actualizado.
Cristian