El Instituto Nacional de Tecnologías de la Comunicación (Inteco) ha alertado de la presencia del gusano Hary, que se hace pasar por una copia del libro Harry Potter and the deathly hallows y se propaga a través de dispositivos USB.
Cuando Hary se ejecuta el gusano crea un documento de Word con el nombre de la novela y posteriormente lo abre, de manera que lo deja abierto en segundo plano. La barra del título de Internet Explorer es modificada por el texto JK Rowling Owns You (JK Rowling te posee) y crea un fichero llamado harry.txt.
Dicho fichero tiene un texto en inglés que se podría traducir como 'Harry Potter es idiota, también lo es Daniel. Ron Weasley es feo, pero, ¿a quién le importa? Hermione es guapa y explotada, pero, ¿a quién le importa? Dumbledore es viejo y demacrado, pero, a ¿quién le importa? JK Rowling es una ex-bruja, pero, ¿a quién le importa? Apuesto a que no lo sabías. Todo lo que importa es que.... ¡Harry Potter va a morir! OK, ahora puedes conseguir una copia de ese tonto libro de Harry Potter'.
Posteriormente el gusano crea un fichero de procesamiento por lotes (.bat) que, al ser ejecutado, muestra por pantalla un texto en inglés que se podría traducir como 'lee y arrepiéntete, el fin esta cerca, arrepentíos, ¡o gente!, de vuestras sendas diabólicas no sea que vayáis a arder en el infierno.... Sobre todo JK Rowling'.
Después cambia la página de inicio para que muestre un libro de Amazon que resulta ser una parodia de Harry Potter, 'Harry Putter and the chamber of cheesecakes', paralelamente reduce los niveles de seguridad de Internet y se propaga a través de todas las unidades extraíbles conectadas al sistema, según ha informado el Inteco en una nota recogida por Europa Press.
TROYANO 'OBVOD.K.'
Por otra parte, el Inteco ha catalogado esta semana el troyano 'Obvod.K.' para la plataforma Windows, que recibe instrucciones remotas para visitar páginas web, descargar archivos e inyectar publicidad en páginas mediante iFrames. Se ejecuta una vez cada hora.
El troyano carece de rutina propia de propagación, por lo que puede llegar al sistema descargado por otro código malicioso, al visitar una página web infectada, descargado sin el conocimiento del usuario o a través de algún programa de compartición de ficheros (P2P).
Asimismo, crea 24 archivos .job para poder ejecutarse una vez cada hora y se conecta a un servidor remoto determinado para recibir archivos cifrados que guarda en la carpeta de archivos temporales. Estos archivos contienen una lista de páginas web para visitar o de archivos que descargar.
NUEVO 'MALWARE'
A continuación lanza Internet en segundo plano y comienza a visitar ese listado de páginas de forma transparente al usuario. Al acceder a esas direcciones se descargará nuevo 'malware'.
Además, el troyano inyecta diversas etiquetas iFrame a páginas web de publicidad en la navegación normal del usuario y modifica el registro de Windows para que Internet Explorer no muestre un cuadro de dialogo de error cuando se produzca algún error en la navegación.
Como medida de protección el Centro de Respuesta a Incidentes de Seguridad TIC del Inteco (Inteco-CERT) recomienda mantener el sistema operativo y los programas del ordenador actualizados, así como tener instalado un antivirus.
Estos son dos de los 13 virus publicados en los últimos siete días por Inteco-CERT, a los que hay que sumar otras 45 vulnerabilidades.
