• Tweet

Un archivo ejecutable, que usualmente llega a través de mensajeros instantáneos (MI), pretende hacerse pasar por Office Genuine Advantage Checker, pero en realidad se trata de un gusano malicioso que abre una puerta trasera para permitir a los atacantes tomar el control de un equipo.

Investigadores de BitDefender  reportaron que el archivo, programado en Visual Basic y que está circulando actualmente, se presenta como un ejecutable llamado office_genuine.exe, a pesar de que Microsoft retiró su programa OGA hace casi un año, la aplicación pretende revisar la legitimidad de productos de Office.

La pieza de malware, identificada como Win32.Worm.Coidung.B, no se presenta a sí misma, sino que aparece bajo la forma de un archivo infectante, detectado como Win32.Virtob. Todavía no se tiene certeza sobre si están combinados para un propósito, o si posteriormente, obtendrá un aprovechamiento del error.

Tan pronto es ejecutado, el gusano deshabilita el firewall del sistema operativo y abre una entrada a través de la cual, la mente maestra detrás de esta operación, envía sus comandos maliciosos. Después de ganar el control del sistema, el atacante puede básicamente hacer cualquier cosa desde un DoS hasta robar datos.

Al copiarse a sí mismo en diversas localizaciones ocultas, incluyendo los registros y carpetas de inicio, el gusano se asegura que cada vez que se reinicié la computadora, la haga actuar al servicio de su malévola misión.

Virtob, tampoco representa nada bueno. A pesar de que, aparentemente, sólo observa lo que Coidung hace, en realidad es muy dañino, especialmente para las aplicaciones web.

Máquinas virtuales y emuladores son usadas para evitar el gusano, pues éste se reproduce en scripts ASP, HTM y PHP, mientras espera comandos remotos de su controlador.

A pesar de que el malware se presenta como una validación de Windows para la herramienta de notificación Genuine Advantage, incluso como una herramienta de Windows Genuine, esto no resulta nuevo, ya que siempre vienen con nuevos elementos maliciosos como adjuntos, por eso es recomendable siempre mantener actualizadas las firmas del antivirus.