El informe de PandaLabs de esta semana recoge información sobre los gusanos Autoit.HW y Autorun.JOE y sobre el adware PersonalProtector

Autoit.HW es un gusano que se propaga a través de páginas web y correos engañosos que hacen que el usuario lo instale en su equipo. Además, también se propaga a través de las unidades extraíbles USB. Para esto último, aprovecha la reproducción automática de las unidades extraíbles para ejecutarse sin que el usuario tenga que abrir el archivo ejecutable por sí mismo.

Una vez ha infectado un equipo este ejemplar de malware deshabilita el administrador de tareas, con lo cual el usuario no puede ver los procesos que están activos en el sistema. De esta manera, el gusano trata de ocultarse.
Además deshabilita el Editor del Registro de Windows y las opciones de carpeta, con lo que el usuario no puede cambiar la opción de ver archivos ocultos, o ver las extensiones lo que, de nuevo, ayuda al gusano a ocultarse.

Este gusano deja en el escritorio un archivo llamado Virus Information.txt con el siguiente mensaje:

Hi fri “Administrador”
It is nice to meet you . . . .
I ko thi lar, see yin kaw kin mar lar, i ka talk khin tat tal nor . . . .
I ka girl nor, chit mar lar . . . . .
I ka u computer ko bar ma, ma loat par buu khin lo Virus write pi talk sa tar ko , he` he` . . .
Sate so ya buu nor i ka di lo pae` . . . . ya tal ma hote lar
I name ko  thi chin lar? pyaw pya par buu; bar lo pyaw pya ya mar lae`
u ka boy lar, age ka kaw?
i ka 18age girl i gamil ka comput5r3razygirl@gmail.com
bye bye . . . luu soe . . . fly kiss . .

Cuando transcurre un tiempo con el malware ejecutado aparece un cuadro de dialogo con el siguiente mensaje:

I am 18 girl Loikaw
Write by comput5r3razygirl@XXX.com
“Loikaw hacing day”3D virus for you NOMBRE DE USUARIO

Autorun.JOE es otro gusano que, como el anterior, se propaga a través de correos y unidades extraíbles. Tras infectar un ordenador, lleva a cabo las siguientes actividades maliciosas:

- Deshabilita el administrador de tareas
- Deshabilita las herramientas de control del Registro de Windows
- Deshabilita la visión de archivos ocultos.
- Deshabilita la visión de archivos ocultos de sistema.

Finalmente, PersonalProtector es un adware del tipo de los falsos antivirus. Como todos los de este tipo se caracteriza por simular llevar a cabo un análisis del equipo durante el que detecta varias amenazas que, en realidad, no están en el ordenador. A continuación, ofrece al usuario la oportunidad de eliminar esas amenazas inexistentes adquiriendo la versión de pago del falso antivirus.

Puede ver unas imágenes de este proceso aquí: http://www.flickr.com/photos/panda_security/tags/personalprotector/