El Laboratorio de la empresa de seguridad informática ESET fabricantes de NOD32 Antivirus, ha detectado un nuevo tipo de malware, especificamente un «gusano» bautizado con el nombre de Win32/AutoRun.VB.UG.
Cuando este virus es ejecutado, busca algunos procesos de programas que se encuentren en ejecución para terminarlos y no permitir que se vuelvan a iniciar. Dentro de esta lista, se encuentran programas antivirus. Algunos de los archivos que finaliza son Process Monitor, Process Explorer y Sandboxie.
Para dificultar su remoción, esta poderosa amenaza desactiva algunas funciones de Windows como el comando ejecutar. También imposibilita abrir el Administrador de Tareas, no permite cambiar las distintas opciones de carpeta, como poder mostrar archivos cuyos atributos sean oculto o de sistema, ni tampoco ver la extensión del fichero en el nombre del mismo.
Pese a que Win32/AutoRun.VB.UG permite su ejecución en máquinas virtuales, este no se ejecuta y muestra varios errores hasta llenar el escritorio de mensajes si es abierto mediante un programa del tipo sandbox. Esta categoría de software permite aislar del sistema anfitrión, las diferentes acciones y peligros que pueda llevar a cabo una determinada amenaza. Esta operación representa una dificultad más para determinar el comportamiento de la muestra.
Como su clasificación de AutoRun lo indica, se expande copiándose a dispositivos de almacenamiento masivo USB como memorias flash o discos duros portátiles. Esto permite que el gusano sea ejecutado automáticamente en versiones de Windows XP sin el respectivo parche de seguridad.
Para lograr este objetivo, el malware se copia en una carpeta cuyo nombre elige aleatoriamente. Esta tiene atributo de oculto y de sistema para que el usuario no pueda verla. Luego, la amenaza procede a ocultar todos los archivos de la víctima que residan en esta clase de dispositivos.
Finalmente, el gusano crea diferentes accesos directos que apuntan tanto a los archivos ocultos de la persona como a este mismo. De esta forma, cada vez que el usuario abre un acceso directo malicioso, ve su archivo real y además, infecta su sistema sin saberlo.
Se recomienda a todos los usuarios contar con una solución antivirus con capacidad de detección proactiva para protegerse frente a este tipo de gusanos y otras amenazas informáticas.
Fuente: blogs.eset-la.com
