El informe de PandaLabs de esta semana recoge información sobre los gusanos KillAV.KP, PasswordStealer.BM y MSNWorm.GI

KillAV.KP está diseñado para impedir al usuario acceder a páginas web pertenecientes a compañías antivirus y a foros de seguridad informática. De esta manera, el usuario no podrá consultar información relacionada con temas de seguridad o descargar actualizaciones.

Este código malicioso llega al ordenador en un archivo que tiene el icono de un gato y que se hace pasar por una imagen. Para que el usuario no se dé cuenta del engaño, una vez ejecutado, KillAV.KP muestra al usuario una animación .GIF (imagen aquí: http://www.flickr.com/photos/panda_security/3574720713/)

Al mismo tiempo que muestra esa imagen, descarga un fichero en el equipo destinado a realizar diversas modificaciones en el Registro de Windows, como la sque impiden acceder a páginas webs de empresas de seguridad.

PasswordStealer.BM, por su parte, es un gusano que obtiene información confidencial del usuario, como contraseñas almacenadas en Internet Explorer. También roba datos sobre el ordenador afectado, como versión del sistema operativo, nombre de usuario y dirección IP. Toda es ainformación es almacenada y enviada, después, a su creador a través de IRC.

Este gusano presenta algunos signos que lo hacen reconocible a simple vista. Así, cuando  es ejecutado muestra una imagen en la que aparece un joven asiático fumando (imagen aquí: http://www.flickr.com/photos/panda_security/3575542298/ ). Además, cambia la página de inicio de Internet Explorer (imagen aquí: http://www.flickr.com/photos/panda_security/3575542334/ )

PasswordStealer.BM utiliza diversas técnicas para dificultar su eliminación:
- Oculta los archivos y carpetas con atributo oculto.
- Oculta las extensiones de los archivos.
- Oculta los archivos del sistema operativo.

Además, este gusano intenta propagarse a través de canales IRC. Para ello, envía un mensaje aleatorio con un archivo llamado MYPIC.ZIP y que contiene una copia comprimida de sí mismo a todos los usuarios conectados al canal al que se conecte el usuario afectado.

MSNWorm.GI, por su parte, es otro gusano diseñado, en este caso, para distribuirse a través del programa de mensajería instantánea MSN Messenger. Para ello, envía un mensaje instantáneo a los contactos del usuario infectado, en el que se les incita a ver una foto.

El mensaje incluye un enlace con una URL que simula ser la de Facebook. Si el usuario pulsa el enlace, se abre una ventana de descarga, para que el usuario ejecute o guarde un archivo, que correspondería a una supuesta foto. El archivo tiene doble extensión JPG y EXE para engañar al usuario. Pero, en realidad, este archivo corresponde a una copia actualizada del gusano.

Si el usuario abre el archivo descargado, se abrirá la página real de Facebook para así engañar al usuario, que podrá pensar que ha habido un error al no encontrar allí foto nueva alguna.