Si el internauta accede a la imagen desde un ordenador Mac, no se verá afectado por el virus, pero si lo hace desde un sistema Windows, el equipo es infectado y el mensaje se envía a los contactos del usuarios afectado, según ha infromado Symantec.

El virus es peligroso y tiene una gran capacidad para engañar a los usuarios, ya que el remitente es un contacto conocido, con lo que es más fácil que el internauta acceda al mensaje sin pensar que pueda tratarse de un correo malicioso.

El gusano recibe el nombre de Palevo y es capaz de recopilar contraseñas e información personal del usuario. Cuando infecta el equipo crea ficheros de tipo mds.sys, mdt.sys, winbrd.jpg, infocard.exe, y elimina la protección que ofrece el cortafuegos.

Yahoo! ha confirmado la existencia del problema y asegura que está trabajando para solucionarlo. Aconseja a sus usuarios prudencia en la descarga de cualquier fichero que venga de un mensaje, aunque el remitente sea un contacto conocido, si no se está seguro de que realmente nos lo haya enviado el emisor.

Fuente: El País

Las compañías de antivirus están supervisando la actividad de la botnet, registrando que en las últimas dos semanas se ha vuelto a iniciar en varias ocasiones cada día, permaneciendo la cantidad de 71 a 142, que son los necesarios para ocuparse de todos los equipos dañados por el gusano.

Según los datos de las direcciones IP, se puede observar que los servidores de la botnet se encuentran por todo el mundo, aunque más de la mitad están en Estados Unidos.

Según parece, los responsables de Koobface están siempre examinando la botnet para que su cantidad de servidores no baje en gran cantidad, asi mantienen el control de la red y, en caso de que el número de servidores baje llegando a un nivel crítico, incorporan nuevos equipos. De esta forma consiguen que el número de servidores se mantenga en torno a los 100, extendidos por todo el mundo y soportados por distintas ISP’s para que la red botnet no deje de existir.

Fuente: Zona Virus

Se propaga mediante el envío masivo de correo electrónico a todas las direcciones que contiene el equipo al que infecta. Suele llevar de asunto el nombre de: Fedex tracking number 2344492918, y como archivo adjunto, ZD76128824.Zip. Dentro de este archivo está comprimido el fichero WD6128922.Exe, con una copia del gusano que infecta el equipo y se envía a sus contactos.

El contenido del mensaje aparece en inglés y se informa al usuario que no se le ha podido mandar un paquete. El mensaje es el siguiente:

Remitente: Falsificado
Asunto: Fedex tracking number 2344492918
Cuerpo del mensaje:

Unfortunately we were not able to deliver postal package you sent on August the 1st in time because the recipient´s address is not correct. Please print out the invoice copy attached and collect the package at our office Your FEDEX.com

Cuando el usuario abre el archivo adjunto, el virus se ejecuta y realiza la carpeta %System% \wsnpoem y en %System% \ntos.exe instala una copia de sí mismo. También cambia la entrada de registro que se muestra a continuación para efectuarse cada vez que el equipo arranque:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Valor: Userinit = ” %System% \Userinit.exe,%System%\ntos.exe,”

A continuación, realiza las próximas entradas de registro:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network Valor: UID = “{nombre del equipo}_{números aleatorios}”

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{19127AD2-394B-70F5-C650-B97867BAA1F7}\

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{4B19E1F3-5B47-C615-C75A-E0FD63DB477F}

Se encarga de abrir un puerto TCP aleatorio para contactar con la dirección: http://blatundalqik.ru/[- eliminado -]rev.bin y para ejecutar programas maliciosos entra en la página  http://66.199.242.115

En caso de haber sido afectado por el virus se debe intentar eliminarlo. Para ello, si se utiliza Windows XP, Me o Vista, es conveniente utilizar la opción de ‘Restauración de Sistema’ para volver a un punto anterior al de la infección, en la que el equipo no contenía el virus.

Si no se conoce un punto anterior al de la infección, o no se puede ir a él, habría que tomar otras medidas. En primer lugar, es conveniente desactivar la opción de ‘Restauración del Sistema’ y después reiniciar el equipo en ‘Modo Seguro’ o ‘Modo a Prueba de Fallos’.

A continuación, con un antivirus debidamente actualizado, se debe revisar el equipo para hallar todas las copias del virus que contiene.

La carpeta %System% \wsnpoem debe ser borrada, y también los siguientes archivos:

%System% \ntos.exe

%System% \wsnpoem\audio.dll

%System% \wsnpoem\video.dll

En caso de que la infeccion no pueda restaurarse o los archivos no se puedan eliminar, hay que asegurarse de que los archivos no estén en uso en ese momento. Para ello, hay que entrar en la opcion ‘Administracion de tareas’. Si se dispone de Windiws Me se debe seleccionar el nombre del proceso y pararlo, en cambio, si se utiliza Windows XP, 2000 o Vista, hay que entrar en ‘Procesos’ y pinchar con el botón derecho del raton en el proceso malicioso y elegir ‘Terminar Proceso’.

Después, hay que intentar borrar de nuevo los archivos maliciosos del virus.

Una vez eliminados, hay que modificar el registro para descomponer los cambios que ha causado el virus. Hay que tener precaución a la hora de trabajar en el registro, ya que si se cambian algunas claves incorrectamente el ordenador puede quedar inútil. Se deben borrar las siguientes claves de registro y todo su contenido.

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{19127AD2-394B-70F5-C650-B97867BAA1F7}\

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{4B19E1F3-5B47-C615-C75A-E0FD63DB477F}\

Y también la entrada de registro:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network Valor: UID = “{nombre del equipo}_{números aleatorios}”

La entrada de registro después debe dejarse con su valor anterior. Su valor por defecto es el siguiente:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Valor: Userinit = ” %System% \Userinit.exe,”

Los archivos temporales del equipo deben ser borrados, incluso los del navegados y los que se encuentren en la papelera de reciclaje.

Para finalizar, es conveniente reiniciar el equipo y revisarlo con un antivirus para asegurarse de que el virus ha sido debidamente eliminado.

En enlace que porta el gusano dice lo siguiente: “hey (nombre del usuario), encontré este video tuyo acá (enlace malicioso). Eres tú ¿no es verdad?”. Cuando el usuario accede al enlace, se le solicita descargar un codec de vídeo, el cual en realidad contiene el gusano.

Cuando el virus ha entrado en el ordenador, éste lleva al navegador a una web de contenido explícito y a otra en la que le pide al usuario que proporcione sus datos para obtener un premio que es falso. Al pulsar en Get Free Access se descarga un archivo setup.exe que ejecuta un plugin con el nombre de MediaPass Plugin.

El gusano también cambia la página de inicio del navegador y le inyecta códigos para que aparezcan ventanas emergentes de publicidad, dificultando la navegación.

Fuente:Europapress

Se trata de un gusano troyano que utiliza tres formas distintas de propagación: mediante el correo electrónico, servidores que dispongan de ISS (“exploit” Web Directory Traversal) y por carpetas de red compartidas.

Cuando el virus llega al equipo, descarga en el directorio C:\Windows\Temp, un archivo “meXXXX.tmp.exe2, un correo electrónico en formato EML, que porta el fichero que el gusano enviará adjunto al resto de contactos.

Tiene un grado de peligrosidad mínimo y no tiene capacidad de efectuarse de forma automática cada vez que el ordenador se reinicia. Es capaz de autopropagarse y lo hace mediante el correo electrónico masivo. Se envía a todas las direcciones que contiene el equipo afectado.

El archivo adjunto que contiene el correo malicioso puede ser uno de los siguientes:

• *.com
• *.wav
• readme.exe

El correo esta en formato EML, dispone de audio y un archivo ejecutable adjunto a los mensajes mandados por el gusano. El nombre más común del archivo que se recibe es el de readme.exe, pero también puede encontrarse cualquiera de los otros dos dichos anteriormente.

El virus se extiende utilizando su motor ASP propio y las APIs de mensajería, con lo que el troyano se puede efectuar al abrir el correo con MS Outlook u Outlook Express.

Para propagarse utiliza las unidades de red compartidas, efectuando en ellas el fichero EML que lo porta. Éste dispone de la estructura de un fichero .DLL.

La carpeta compartida tiene ficheros con la extensión .EXE, .EML o .DOC y un archivo adicional, RICHED20.DLL, que es una copia de sí mismo que se instala en el equipo. Esto supone que el archivo original, RICHED20.DLL de la carpeta de Windows queda sobrescrito. En algunas ocasiones, el virus daña también ficheros ejecutables, adjuntándoles una copia de su código binario al inicio.

El gusano crea una entrada en el archivo System.ini, con el valor: Explorer.exe load.exe –dontrunold. Esta entrada tiene el objetivo de que el virus se active cada que se encienda el equipo.

El virus dispone de una fuente que, a medida que va realizando copias de sí mismo, efectúa una scrip que incluye al usuario “Invitado” en el grupo de “Invitados” y al de “Administradores”, con lo que adquiere privilegios de administrador.

El gusano contiene este texto en su código: –Concept Virus (CV) V.5, Copyright (C) 2001
R.P.China.

Si ha sido infectado por este gusano, en primer lugar hay que rastrear el equipo, localizar donde se encuentra el virus y eliminar todos los archivos que haya creado.

Si el sistema del que se dispone es Windows 95, 98 o Me, hay que modificar el archivo System.ini, para ello hay que encontrar la línea que empieza con “shell=\” y cambiar su contenido, desde el signo “=”, por lo siguiente: “explorer.exe”. Tras realizar el cambio, la línea debe quedar así: shell=explorer.exe. Después hay que guardar los cambios y reiniciar el equipo.

Para asegurarse de la eliminación del virus, es conveniente revisar el equipo con un antivirus actualizado y borrar todos los ficheros que detecte que estén vinculados al virus o contengan alguno de sus nombres.

A continuación, hay que restaurar los ficheros “Admin.dll” y “Riched20.dll” mediante una copia de seguridad o a través de los archivos de instalación. Si se dispone del sistema Windows NT, XP o 2000, y ha sido infectado por el virus, hay que pasar directamente a este paso.

Los archivos compartidos que no sean necesarios también deben ser borrados y, para finalizar, hay que eliminar la cuenta de “Invitado” de la de “Administradores”.

Es considerado de peligrosidad baja, causa un daño medio y su grado dispersabilidad es alto. No tiene capacidad de autopropagación ni de ejecutarse automáticamente cada vez que el equipo se reinicia.

Se extiende a unidades locales del sistema y si la fecha y la hora del equipo cumplen unas circunstancias específicas, el virus se copia a él mismo, con el nombre de  zipsetup.exe (195072 B), en el directorio raíz de las siguientes unidades: A:\, B:\, C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\

En estos directorios se crea también un archivo autorun.inf, que se efectúa cuando se accede a estas unidades y se genera el fichero zipsetup.exe. 

Cuando el gusano entra en el equipo y efectúa su infección, se establecen los siguientes ficheros:  

•  %system% \drivers\Mstart.sys (13100 B)
• %system% \drivers\Mseu.sys (18188 B)
• %system% \mseus.exe (69632 B)
• %system% \tokset.dll (195072 B)
• %system% \ainf.inf (41 B)
• %programfiles% \Dump\Dump.exe (28672 B)
• %temp% \Mseu.ini (225 B)
• %temp% \mseus.ini (328 B)
• %temp% \Instdrv.exe (44552 B)
• %temp% \Dump.ini (275 B)
• %temp% \Regini.exe (68880 B)

Después, Zimuse. A. presenta un cuadro de diálogo en inglés e instala unos drivers de modo que se efectúa de forma automática en la iniciación del sistema. Los drives son los siguientes:

•  %system% \drivers\Mstart.sys, MSTART
• %system% \drivers\Mseu.sys, MSEU

Y además, agrega estas entradas en el registro:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run 

Valor: "Dump" = " %programfiles% \Dump\Dump.exe"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART\0000\Control 

Valor: "*NewlyCreated*" = 0 

Valor: "ActiveService" = "MSTART"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART\0000 

Valor: "Service" = "MSTART" 

Valor: "Legacy" = 1 

Valor: "ConfigFlags" = 0 

Valor: "Class" = "LegacyDriver" 

Valor: "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}" 

Valor: "DeviceDesc" = "MSTART"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART 

Valor: "NextInstance" = 1

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mseu 

Valor: "Type" = 1 

Valor: "Start" = 2 

Valor: "ErrorControl" = 1 

Valor: "Tag" = 1 

Valor: "Group" = "Extended base"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\ Enum 

Valor: "0" = "Root\LEGACY_MSTART\0000" 

Valor: "Count" = 1 

Valor: "NextInstance" = 1

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\ Security 

Valor: "Security" = "%cadena_hedecimal%"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART 

Valor: "Type" = 1 

Valor: "Start" = 3 

Valor: "ErrorControl" = 1 

Valor: "ImagePath" = " %system% \drivers\MSTART.SYS" 

Valor: "DisplayName" = "MSTART"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ UnzipService 

Valor: "Type" = 272 

Valor: "Start" = 2 

Valor: "ImagePath" = " %system% \Mseus.exe" 

Valor: "ErrorControl" = 0 

Valor: "DisplayName" = "Self extract service" 

Valor: "ObjectName" = "LocalSystem" 

Valor: "Description" = "Self extract archive decrypt" 

Valor: "ft1" = %FechayHora1%
Valor: "ft2" = %FechayHora2%

Otra consecuencia que puede causar el gusano es la eliminación de los siguientes archivos:

• C:\BOOT.INI
• C:\NTDETECT.COM
• C:\NTLDR
• C:\HYBERFILE.SYS
• C:\BOOTMGR
• C:\BOOTMGR.BAK
• C:\BOOTSECT
• C:\BOOTSECT.BAK
• C:\System Volume Information\*.*
• D:\System Volume Information\*.*
• E:\System Volume Information\*.*
• F:\System Volume Information\*.*
• G:\System Volume Information\*.*
• H:\System Volume Information\*.*
• I:\System Volume Information\*.*
• J:\System Volume Information\*.*
• C:\Documents and Settings\Administrator\My Documents\*.*
• D:\Documents and Settings\Administrator\My Documents\*.*
• E:\Documents and Settings\Administrator\My Documents\*.*
• F:\Documents and Settings\Administrator\My Documents\*.*
• G:\Documents and Settings\Administrator\My Documents\*.*
• H:\Documents and Settings\Administrator\My Documents\*.*
• I:\Documents and Settings\Administrator\My Documents\*.*
• J:\Documents and Settings\Administrator\My Documents\*.*
• C:\Users\Administrator\*.*
• D:\Users\Administrator\*.*
• E:\Users\Administrator\*.*
• F:\Users\Administrator\*.*
• G:\Users\Administrator\*.*
• H:\Users\Administrator\*.*
• I:\Users\Administrator\*.*
• J:\Users\Administrator\*.*
• C:\Documents and Settings\*.*
• D:\Documents and Settings\*.*
• E:\Documents and Settings\*.*
• F:\Documents and Settings\*.*
• G:\Documents and Settings\*.*
• H:\Documents and Settings\*.*
• I:\Documents and Settings\*.*
• J:\Documents and Settings\*.*
• C:\Users\*.*
• D:\Users\*.*
• E:\Users\*.*
• F:\Users\*.*
• G:\Users\*.*
• H:\Users\*.*
• I:\Users\*.*
• J:\Users\*.*
• c:\system32\drivers\*.*
• c:\system32\CONFIG\*.*
• c:\system32\*.*

Si se ha sufrido un ataque por parte de este gusano, lo conveniente es volver a un punto de restauración anterior a la infección, para que el equipo vuelva al estado en el que no estaba infectado y desaparezca el virus

Si no se puede volver a un punto anterior de restauración, se debe apagar la Restauración del Sistema e intentar borrar el gusano reiniciando el ordenador en Modo Seguro y buscar las copias del virus que se encuentran en el equipo con un antivirus que esté actualizado. A continuación se deben borrar los siguientes archivos:

• %system% \drivers\Mstart.sys
• %system% \drivers\Mseu.sys
• %system% \mseus.exe
• %system% \tokset.dll
• %system% \ainf.inf
• %programfiles% \Dump\Dump.exe
• %temp% \Mseu.ini
•  %temp% \mseus.ini
• %temp% \Instdrv.exe
• %temp% \Dump.ini
• %temp% \Regini.exe

Si continúa sin poder eliminar el virus, es posible que sea porque está en funcionamiento y está usando los ficheros que se quieren eliminar, con lo que hay buscarlo y detenerlo para poder borrarlo.

Una vez que se ha conseguido borrar, se debe editar el registro para eliminar las modificaciones que el gusano ha efectuado. Hay que tener precaución a la hora de trabajar en el registro y realizar cambios, ya que, si se cambia algo de forma incorrecta, el equipo se puede ver perjudicado. Se deben borrar las siguientes entradas del registro:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run 

Valor: "Dump" = " %programfiles% \Dump\Dump.exe"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART\0000\Control 

Valor: "*NewlyCreated*" = 0 

Valor: "ActiveService" = "MSTART"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART\0000

Valor: "Service" = "MSTART" 

Valor: "Legacy" = 1 

Valor: "ConfigFlags" = 0 

Valor: "Class" = "LegacyDriver" 

Valor: "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}" 

Valor: "DeviceDesc" = "MSTART"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART 

Valor: "NextInstance" = 1

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mseu 

Valor: "Type" = 1 

Valor: "Start" = 2
Valor: "ErrorControl" = 1 

Valor: "Tag" = 1 

Valor: "Group" = "Extended base"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\ Enum 

Valor: "0" = "Root\LEGACY_MSTART\0000" 

Valor: "Count" = 1 

Valor: "NextInstance" = 1

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\ Security 

Valor: "Security" = "%cadena_hedecimal%"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART 

Valor: "Type" = 1 

Valor: "Start" = 3 

Valor: "ErrorControl" = 1 

Valor: "ImagePath" = " %system% \drivers\MSTART.SYS" 

Valor: "DisplayName" = "MSTART"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ UnzipService 

Valor: "Type" = 272 

Valor: "Start" = 2 

Valor: "ImagePath" = " %system% \Mseus.exe" Valor: "ErrorControl" = 0 

Valor: "DisplayName" = "Self extract service" 

Valor: "ObjectName" = "LocalSystem" 

Valor: "Description" = "Self extract archive decrypt" 

Valor: "ft1" = %FechayHora1% 

Valor: "ft2" = %FechayHora2%

Después de eliminar estos ficheros se deben borrar todos los archivos temporales del equipo, incluidos los de Internet y los que contenga la papelera de reciclaje.

Para asegurarse de que el virus ha sido eliminado es conveniente reiniciar el equipo y revisar todo el disco duro con un antivirus. También hay que reactivar la restauración del sistema si la desactivó anteriormente.

• Conficker.C.: Con la categoría del virus más pesado ha estado todo el año dando serios problemas a particulares y empresas. Desde el pasado 31 de diciembre de 2008 no ha parado de dar guerra, se le puede considerar de los peores de 2009.
• El virus Samal.A.: En sus mensajes infecciosos hacen referencias a la magia, por eso se la ha catalogado como el virus de Harry Potter. Cuando entra en el equipo y lo infecta aparece el mensaje “Ah ah no has dicho la palabra mágica” y da la opción de que el usuario introduzca la supuesta palabra mágica. No importa lo que se escriba porque a la tercera vez de escribir una palabra aparece el mensaje siguiente: “Samael ha llegado. Este es el fin” y el ordenador se reinicia. 
• Virus DirDel.A: Se trata de un gusano que viene en un archivo con el nombre Vendetta.exe y que para pasar desapercibido y engañar al usuario viene con un icono de una carpeta lícita de Windows. Se dedica a cambiar de forma progresiva las carpetas de los distintos directorios del equipo infectado con una copia de si mismo.
• Sinowal.VZR: Su método para infectar a miles de usuarios ha sido hacerse pasar por billetes de avion electrónicos que se supone que el usuario había adquirido.
• Whizz.A.: Este virus ha sido llamado el más marchoso porque cuando llegaba al ordenador hacía que éste empezara a producir pitidos, la bandeja del CD o DVD comenzaba a abrirse y cerrarse sola, el puntero no para de moverse y en la pantalla aparecen barras.
• Waledac.AX: El virus caza amantes o espía. Para captar a los usuarios y poder infectarlos ofrecía la posibilidad de poder acceder a los mensajes de cualquier móvil. Se aprovechaba de la curiosidad de muchos usuarios para atacar sus equipos.
• BckPatcher.C: Cuando entraba en el equipo el fondo de la pantalla cambiaba y aparecía una imagen en la que aparecía el mensaje “virus kiss 2009”, con lo que ha sido catalogado como el virus besucón.
• WinVNC.A y Sinowal.WRN: Son los virus más mocosos porque han utilizado la gripe A como cebo para engañar a los usuarios.
• Ransom.K.: Es el novato de 2009. Su función es encriptar los archivos del equipo y pedir 100 $ si el usuario quiere conseguir la liberación de su PC. Ha recibido esta categoría porque tiene un error que deja que el usuario recupere sus archivos con una simple combinación de teclas.

• Banbra.GMH: Otro marchoso. Entra en el ordenador mediante un correo electrónico que supuestamente contiene fotos de fiestas brasileñas.

Según el informe, los gusanos que realizaban ataques en empresas han aumentado casi en un 100 % si se compara con el semestre anterior.

Los gusanos se han convertido en la segunda amenaza que más afecta a las empresas. Esto es debido a que las empresas cuentan con unidades de almacenamiento extraíble y archivos no seguros de los que se sirven los gusanos para poder acceder a los sistemas.

En base al informe de Microsoft, los gusanos más detectados en el mundo empresarial fueron Conficker y Taterf. El primero ha resultado ser el más peligroso y en cuanto al segundo, sus detecciones subieron un 156 % en este semestre. El Taterf va destinado a juegos de rol online para varios jugadores.

En cuanto a los usuarios, la mayor amenaza a la que se enfrentan es la del falso software de seguridad que instalan como si fuera original y en realidad infecta sus equipos. Aunque hay que señalar que este tipo de infecciones ha bajado en este semestre un 20 %. 

La gran amenaza de los troyanos de la familia Zlob se ha visto que ha bajado notablemente. Microsoft para paliar esta amenaza ha trabajado para limpiar los ordenadores de usuarios afectados pos estos troyanos y ha mejorado las actualizaciones de sus software.

En el ranking de países del mundo más perjudicado por las amenazas de seguridad, España ocupa el séptimo lugar con una tasa de infección de entre 21 y 26 equipos por cada 1.000 actuaciones de la herramienta de la eliminación de software malintencionado de Microsoft. Las dos amenazas más relevantes en nuestro país son los gusanos y en segundo lugar los troyanos. 

Esta situación se debe a la baja protección que se tiene en las redes sociales. Los antivirus, en ocasiones, tienen baja efectividad en las redes sociales, pueden ser un coladero para que los virus entren en el PC.

En plataformas como Facebook o Twitter llegan mensajes que contienen virus pero el usuario los abre inocentemente. A aparecer de remitente uno de sus contactos no se piensa que pueda contener un archivo malicioso.

El último caso conocido en Facebook ha sido el de Thorsten Landich, el director de cuentas de una compañía alemana de telecomunicaciones, que recibió un mensaje un mensaje en Facebook de un compañero de trabajo que llevaba como asunto la palabra “Hi”. El mensaje contenía el siguiente enlace: http://modelllviideeooo.com.

Landich pensó que era un mensaje inofensivo de su compañero y tras pinchar en el enlace afirma que “Aterricé en una página que me pedía que instalara un programa y después el PC se apagó”. Landich no se preocupó hasta el día siguiente, cuando otro compañero le alertó de la situación. Entonces se dió cuenta de que en su ordenador había entrado un virus que se estaba extendiendo a todos sus contactos.

Según Landich “Se trataba de un gusano informático inofensivo que se instala en la agenda de contactos”, que al parecer, ya no manda spam.

Por otro lado, en Twitter cirucula otro virus actualmente. Se trata de un gusano que se aloja en la cuenta del usuario afectado y envía, con su nombre, correos a todos sus contactos con publicidad de Victoria’s Secret.

También se ha registrado un mensaje engañoso que invita a los usuarios ha entrar en un link o blog que supuestamente contiene información o fotos en las que aparecen.

Otro gusano engañaba a los usuarios prometiendo que ganarían un iPhone si entraban en el link indicado. El gusano alojado en el enlace se dedicaba a robar las claves de acceso de los usuarios de forma que el atacante podría así acceder a su cuenta y extenderse a sus contactos.

Estas no son los únicos peligros que podemos encontrarnos en las redes sociales, Kaspersky Labs señala que algunos días han observado que uno de cada 500 links publicados en Twitter envían a los usuarios a portales que pueden llenar de virus sus equipos.

Ante estas amenazas, el consultor senior de tecnología de Sophos, Graham Cluley, aconseja a los usuarios que sufran alguno de estos ataques que cambien su contraseña. Añadió que “las cuentas en redes sociales afectadas son muy vulnerables a los “hackers”, pues pueden usarlas para extender campañas de “spam”, robar identidades online o cometer otros crímenes en la red”.

Es importante que no se tenga la misma contraseña para todo, ya que entonces para los atacantes es más fácil acceder a todas los sitios donde acceda el usuario, con lo que el peligro aumenta aún más.