29 de junio de 2007 - El informe sobre malware de PandaLabs de esta semana se ocupa de tres nuevos códigos maliciosos destinados a poner en peligro la seguridad de su ordenador: dos gusanos y un troyano.

El primer caso de este informe, Gronev.A, es un gusano de curiosas aficiones musicales. Así, cuando infecta un ordenador, abre el reproductor Windows Media Player y hace sonar una canción titulada “Lagu”. Además, cuando se ejecuta la consola CMD, abre una ventana de MS-dos en la que muestra un logo con la palabra “Vergon”.

Mientras muestra esta ventana, Gronev.A está creando una nueva cuenta de usuario en el sistema, a la que el usuario legal no podrá acceder.

Además, crea varias carpetas en el sistema con los nombres Backup, Doc, Secret y tools y se copia en ellas. Para propagarse, crea copias de si mismo en todas las unidades del sistema.

Este gusano realiza otras acciones maliciosas como cerrar Internet Explorer o modificar el registro de Windows para ejecutarse con cada reinicio.

El segundo gusano del informe de esta semana se llama Antihost.A. Este código malicioso se propaga copiándose en todas las unidades físicas que estén conectadas al ordenador. Si consigue copiarse en un dispositivo de memoria USB, cuando éste sea conectado a un ordenador, el gusano se ejecutará e infectará esa máquina.

En el caso de que al producirse la infección no haya un DVD o un CD en la unidad de disco óptico, Windows muestra un mensaje en el que insta al usuario a introducir uno. De esa manera, se revela la presencia del gusano ya que no parará de aparecer el mensaje hasta que no se introduzca el disco en la unidad.

Antihost.A crea varios archivos ocultos en la máquina infectada. Además, modifica el registro de Windows para ejecutarse con cada reinicio del sistema.

Para terminar, el informe aporta datos sobre el troyano BotVoice.A. Se trata de un código malicioso que, aprovechando el lector de textos integrado en el propio Windows, provoca que se escuche reiteradamente la siguiente frase: “You has been infected I repeat You has been infected and your system files has been deletes. Sorry. Have a Nice Day and bye bye” (Has sido infectado, repito, has sido infectado y los archivos de tu sistema están siendo eliminados. Lo siento. Pasa un buen día y adiós.)

Mientras informa al usuario de esta manera tan curiosa de que ha sido infectado, BotVoice.A se dedica a borrar todos los accesos directos del escritorio y de la carpeta “Mis Documentos”, así como todos los archivos de la unidad C hasta que encuentra alguno imposible de borrar, tras lo cual detiene el borrado de archivos pero no el sonido.

Además, realiza ciertas modificaciones en el registro que impiden la ejecución de cualquier tipo de programa, por lo que el usuario no podrá utilizar el ordenador.

BotVoice.A se propaga de la manera habitual de los troyanos, esto es, descargado por otro malware o desde una página web maliciosa, a través de unidades de almacenamiento como memorias USB, CD-ROMs o disquetes, mediante correo electrónico, a través de redes punto a punto, etc.