Uno de los falsos mitos respecto a los códigos maliciosos, es que para desarrollar uno de estos, es necesario ser un genio en la programación, un "loco" de las computadoras y la seguridad, un ser con muchas capacidades para escribir códigos capaces de propagarse por la red y causar daños a las computadoras de cientos, o miles de usuarios.

Aunque es cierto que en la actualidad es importante el nivel de profesionalismo de los creadores de códigos maliciosos (que desaprovechan su cerebro), y que estos han mejorado sus técnicas y características; la realidad es que también existen muchos amateurs desarrollando este tipo de aplicaciones. Y algunas de sus creaciones llegan a los usuarios y a nuestro Laboratorio.

Uno de los códigos malicioso en cuestión, detectado por ESET NOD32 como VBS/KillFiles.C troyano, llega al usuario enmascarado como una imagen de Maradona, bajo los nombres de archivo "Maradona Foto", "Shakira Foto" y "Mi foto", siendo ocultada en cualquier versión de Windows instalada por defecto, la extensión del tipo .vbs (de Visual Basic, el lenguaje de programación utilizado).

Como les mencionaba, no es necesario ningún procedimiento muy complejo para conocer qué intenciones tiene el código malicioso. No hay que desempaquetar el archivo, no hay ningún código ofuscado, ni nada por el estilo. Solo es necesario abrir el mismo, ¡con un bloc de notas!

Así de fácil, podremos conocer mucha información sobre el creador, y el código malicioso, tal como:

  • El supuesto lugar de residencia del creador, y su compromiso con la justicia social (FuenteAlba fue un maestro argentino, que fue asesinado por la policía en una manifestación de docentes en la ciudad de Neuquen, Argentina)

    Amateur Malware

  • El archivo se copia a sí mismo y se modifica el registro de Windows para ejecutarse en el próximo inicio de sesión

    Amateur Malware

  • El código chequea todas las unidades disponibles y almacena todas las carpetas disponibles

    Amateur Malware

  • Para cada carpeta almacenada previamente, se llama a una función BORRAR()

    Amateur Malware

  • La función elimina todos los archivos que posean alguna de las extensiones indicadas, y crea un archivo TXT indicando que "los archivos originales fueron destruidos"

    Amateur Malware

Aunque la amenaza no es de gravedad (el código está pobremente desarrollado y el archivo no puede ejecutarse en la mayoría de los sistemas), la realidad es que el autor lo liberó en Internet como troyano, lo que demuestra que está "jugando" con la creación de archivos dañinos.

Como verán, todavía quedan algunos "programadores" desarrollando códigos maliciosos sólo con el fin de molestar.

Sebastián