• Tweet

Un nuevo gusano de mensajería instantánea (IM) ha sido visto usando varias técnicas evolutivas que vencen a programas de seguridad instalados atrapando incluso a los usuarios desconfiados y desprevenidos.

De acuerdo con BitDefender, Backdoor.Tofsee"s comienza con su seleccción - que infecta sólo a PC"s que tengan instalado Skype y Yahoo Messenger, dejando a otros usuarios sin infectar.

Si un usuario ejecuta una de estas aplicaciones por casualidad, inmediatamente comprueba si el sistema de destino está ejecutando código sospechoso a través de una capa de máquina virtual, una técnica de seguridad utilizada por algunos, pero no todos los sistemas antivirus. De nuevo, si tal defensa es detectada, se finaliza.

Alternativamente, como una copia de seguridad, trata de subvertir el sistema de la máquina virtual de detección lanzando un proceso hijo “suspendido” en la memoria. A continuación, mata el proceso padre que pueda ser detectado por el sistema de seguridad.

No está claro el éxito de esta táctica, ni si la creación de los procesos hijos puede mantenerse fuera del alcance del sistema de depuración, pero a primera vista parece un ataque bien pensado contra la seguridad actual de la máquina virtual.

En esta etapa, el gusano tiene una "última línea de defensa”, un rootkit que trata de ocultar sus propios archivos y bloquear el acceso a una serie de direcciones URL, antivirus, foros y a las descargas de actualizaciones de Windows. Esta es una técnica más estándar, pero no menos eficaz si el gusano encuentra un hogar en la PC.

Quizás su táctica más inteligente es la forma en que se extiende más allá de la infección inicial. En lugar de simplemente abrir sesiones con los contactos que encuentra en la libreta de direcciones del usuario infectado, se espera hasta que una conversación en curso abra una ventana de chat con un enlace malicioso.

La forma habitual de propagación a través de mensajería instantánea es abrir una sesión de chat en un punto al azar con un contacto al azar. Este método más sofisticado sería mucho más probable que las capturas de los usuarios de Skype y Yahoo con la guardia baja.

Backdoor-Tofsee pueden también adaptar sus conversaciones con una serie de países e idiomas, incluyendo español, alemán, holandés, italiano y francés, así como inglés y es capaz de variar los abridores de conversación de un mensaje a otro.

Después de todo esto, el punto objetivo del gusano es casi mundano. Como casi todos los troyanos, trata de tomar el control del sistema para una serie de propósitos. El uso de Skype y Yahoo Messenger no es más que un canal conveniente.