Se hace pasar por una copia del libro ‘Harry Potter and the deathly hallows’
CGP/DICYT El Instituto Nacional de Tecnologías de la Comunicación (Inteco) alerta en su boletín semanal de un gusano denominado Hary que se hace pasar por una copia del libro Harry Potter and the deathly hallows y se propaga a través de dispositivos USB. Cuando Hary se ejecuta, el gusano crea un documento de Word con el nombre de la novela y posteriormente lo abre dejándolo en segundo plano.
La barra del título de Internet Explorer es modificada por el texto JK Rowling Owns You (JK Rowling te posee) y crea un fichero llamado harry.txt con un texto en inglés. Posteriormente, el gusano crea un fichero de procesamiento por lotes (bat) que al ser ejecutado muestra por pantalla otro texto.
Después cambia la página de inicio para que muestre un libro de Amazon que resulta ser una parodia de Harry Potter y paralelamente reduce los niveles de seguridad de internet y se propaga a través de todas las unidades extraíbles conectadas al sistema.
Por otro lado, Inteco ha detectado un troyano para la plataforma Windows que recibe instrucciones remotas para visitar páginas web, descargar archivos e inyectar publicidad en páginas web mediante iFrames. Se ejecuta una vez cada hora. El troyano carece de rutina propia de propagación, por lo que puede llegar al sistema descargado por otro código malicioso, al visitar una página web infectada, descargado sin el conocimiento del usuario o descargado a través de algún programa de compartición de ficheros (P2P).
El troyano crea 24 archivos tipo job para poder ejecutarse una vez cada hora del día. Después se conecta a un servidor remoto determinado para recibir archivos cifrados que guarda en la carpeta de archivos temporales. Estos archivos contienen una lista de páginas web para visitar o de archivos que descargar. A continuación lanza internet en segundo plano y comienza a visitar ese listado de páginas de forma transparente al usuario. Al acceder a esas direcciones se descargará nuevo malware.
Por otra parte el troyano inyecta diversas etiquetas iFrame a páginas web de publicidad en la navegación normal del usuario. También modifica el registro de Windows para que Internet Explorer no muestre un cuadro de dialogo de error cuando se produzca algún error en la navegación. Como medida de protección Inteco-CERT recomienda mantener el sistema operativo y los programas del ordenador actualizados, así como tener instalado un antivirus. Éste es uno de los 13 virus publicados en los últimos siete días por Inteco-CERT unido a 45 vulnerabilidades.
