Blog de Kaspersky

El gusano multilingüe de Skype

Publicado: 
05/30/2013
ShareThis

Después de la cancelación de MSN Messenger, ahora la bola blanca es Skype. Desde octubre del año pasado hemos registrado varios ataques de gusanos que utilizan el programa de Microsoft para difundir enlaces maliciosos e infectar a los usuarios de todo el mundo - estos ataques se han convertido en ocurrencias habituales después del fin del MSN y la adopción masiva del Skype.

La semana pasada se encontró una nueva versión de este ataque, con difusión mundial, con la novedad de que el gusano está preparado para hablar varios idiomas, generar enlaces acortados en tiempo real, y una vez instalado, descargar otras plagas a la PC de la víctima para fines maliciosos.

En este artículo vamos a examinar los métodos de propagación del gusano y ofrecer consejos de cómo protegerse de este ataque.

No sólo en Español

La propagación del gusano se basa en mensajes escritos en muchos idiomas, incorporando bastante ingeniería social para engañar a las víctimas.

El tema del mensaje puede variar, pero siempre se refieren a una supuesta foto. Para hacer el mensaje menos sospechoso, los enlaces pueden tener el ID de la cuenta del usuario en Skype, seguido de un emoticon.

El gusano también genera mensajes en portugués, por lo tanto puede infectar no sólo los a países hispanoparlantes, sino también a los brasileños y otros países lusófonos:

En otros mensajes también se puede ver una extensión falsa en el final del enlace (jpeg, bmp, gif, etc), con un texto probablemente traducido en servicios automatizados:

El gusano tiene la función de generar varios enlaces acortados en tiempo real y guardarlos en un archivo local. El servicio más utilizado para ello ha sido el goo.gl de Google:

Para definir el idioma que se utiliza en la propagación de enlaces maliciosos, el gusano tiene la función de determinar la ubicación de la víctima y el idioma configurado en su sistema operativo, sobre la base de una lista de países. Él puede crear mensajes en español, ruso, inglés, alemán, entre otros:

Después de estos pasos, el gusano está listo para extender el ataque. Los enlaces acortados enviados por perfiles infectados apuntan hacia archivos alojados en servicios gratis como 4shared, Hotfile, o incluso sitios legítimos que han sido comprometidos y ahora están distribuyendo el gusano. El archivo ofrecido siempre es un .Zip.:

Una vez instalado, con el fin de garantizar pleno acceso a los recursos del programa, el gusano le pedirá permiso al usuario para utilizar  Skype. El nombre utilizado por el gusano siempre será al azar, con letras y números:

Alcance

Debido a la difusión de los mensajes en varios idiomas, el alcance del gusano ha sido global. Las estadísticas de acceso de un solo enlace acortado muestra más detalles:

En estadísticas que recopilamos la semana pasada la detección del gusano ha sido también global, con un mayor número de víctimas en Rusia, así como en los países de Estados Unidos y Europa. En América Latina, México encabeza la lista de países con usuarios infectados:

El objetivo del gusano es preparar las máquinas infectadas para recibir otra infección adicional. En los últimos casos analizados, las máquinas infectadas recibirán una versión de snkb0pt (o RussKill) que le puede dar el control total de la computadora al delincuente, utilizando los recursos de la máquina para enviar spam, hacer denegación de servicio, etc. Algunas versiones del gusano también pueden descargar troyanos bancarios como Zeus.

Cómo protegerse

Recomendamos a los usuarios no hacer clic en los enlaces recibidos a través de Skype, y analizar con mucho cuidado, incluso si estos son enviados por contactos conocidos.

Para los usuarios que han sido infectados, es importante utilizar un buen programa de antivirus preparado para detectar las versiones del gusano. Kaspersky ofrece una herramienta de limpieza gratuita llamada Kaspersky Virus Removal Tool, sólo tiene que descargarla y ejecutarla.

Después de realizar este paso es importante eliminar la autorización de los archivos del gusano. Vaya al menú Herramientas> Opciones> Avanzada. En el cuadro que se abre vaya a  "Administrar al acceso de otros programas a Skype”. En la lista, elimine todos:

Después de la limpieza, también es importante tener en cuenta el cambio de contraseña de su cuenta de Skype.

Los ataques futuros

Por desgracia, los gusanos como este serán cada vez más comunes, dada la popularidad alcanzada por Skype. Otro factor importante es la presencia de esta aplicación en diferentes dispositivos y sistemas operativos, incluyendo el gran número de usuarios que utilizan esta aplicación en plataformas móviles. No sería de extrañar que los futuros ataques dirigidos puedan infectar a propietarios de teléfonos inteligentes que utilizan la versión móvil del programa.

En la propagación de gusanos de este tipo, no hay barreras geográficas o lingüísticas. Las versiones conocidas del gusano són bloqueadas y detectadas por Kaspersky Lab como Backdoor.Win32.CPD.

Rocket Fuel