El siguiente post ha sido publicado por Josep Albors, de Ontinet (distribuidor exclusivo de ESET para España). Reproducimos esta publicación que explica como una nueva variante del gusano Dorkbot se distribuye a través de Skype simulando ser una foto de perfil. Dado que la amenaza se encuentra en español, es factible también que esta variante pueda comprometer usuarios latinoamericanos.
Esta misma mañana, un amigo me ha enviado un mensaje privado diciéndome que alguien que no conocía le preguntaba por Skype por su nueva foto de perfil acompañado por un link. Y menos mal, porque a base de evangelizar continuamente sobre el hecho de estar alerta ante cualquier mensaje raro mi círculo de influencia se va concienciando… Prefiero mil veces esa pregunta al típico “me he infectado con algo que no sé qué es. Por favor, ¿me puedes echar una mano?”. Y es que, en estos casos, es mucho mejor el remedio que la enfermedad.
A lo que vamos… Le ha llegado el siguiente mensaje, que como podéis ver está en perfecto castellano. Si hubiera sido en inglés, seguramente desconfiaríamos más. Vamos a investigar un poco más…
Si hacemos clic en el enlace que acompaña al texto, se descarga un fichero llamado “skype_image.zip”, tal y como vemos a continuación:
Este archivo comprimido contiene a su vez el fichero “DCIM_Skype_000001912389749812509890239498.exe” que no es ni más ni menos que un bonito regalo en forma de malware.
Si lo ejecutamos, automáticamente nos infectaremos con Win32/Dorkbot.B, una variante del malware del que llevamos tiempo informando y que se está distribuyendo, sobre todo, por países de habla hispana.
Al ejecutar el fichero, el ordenador infectado comenzará a lanzar solicitudes DNS a un montón de URLs diferentes. Y, claro está, estaremos dentro de la temida red de botnets.
Si ya has hecho clic, probablemente te habrás infectado si no tienes un buen antivirus instalado y actualizado. Pero si quieres confirmarlo, hay dos pruebas muy sencillas que puedes ejecutar: introduce un dispositivo USB. Si te desaparecen todos los archivos y en su lugar te encuentras accesos directos, es muy probable que te hayas infectado. O intenta acceder a cualquiera de los sitios web de las casas antivirus, como www.eset.es, por ejemplo. Si no te deja, también pudiera ser un síntoma de infección, ya que este gusano impide el acceso a estas webs para evitar que utilices herramientas que pudieran desinfectar tu ordenador.
Si crees que pudieras estar infectado, lo más sencillo es que lleves a cabo un análisis en profundidad de todo tu ordenador con una potente herramienta de seguridad capaz de eliminarlo. Nosotros te ofrecemos, totalmente gratis, ESET Online Scanner, que detecta y desinfecta todo tipo de amenazas sin registros, sin ofertas y sin trampa ni cartón.
Josep Albors