Cuida tu Messenger de Bropia.F

Resumen

Bropia.F es una nueva versión de Bropia, como su versión anterior se disemina a través de MSN Messenger. Además de dejar una variante de Rbot en el sistema infectado.

Descripción detallada

Cuando Bropia.F se ejecuta, el gusano se autocopia como "msnus.exe" en el directorio de sistema de Windows, posteriormente verifica la existencia de los siguientes archivos:

winhost.exe
winis.exe
dnsserv.exe

Si estos archivos no se encuentra, deja un archivo llamado "cz.exe" y lo ejecuta. Este archivo es una variante del virus Rbot. Cuando "cz.exe" se ejecuta se copia como "winhost.exe" en el directorio de sistema de Windows y agrega las siguientes llamadas del registro.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"win32" = "%SysDir%\winhost.exe"

Esto hace que se ejecute la próxima vez que se reinicie la PC. El Rbot puede ser utilizado como backdoor, para obtener información o para enviar correo basura "spam", entre otros propósitos.

Brobia.F también deja un archivo llamado "sexy.jpg" y lo abre. En una instalación típica de Windows, el programa asociado con la extensión jpg es Internet Explorer. De tal manera que cuando se abre con Internet Explorer se obtiene la siguiente imagen.

Diseminación por MSN

El gusano se copia al directorio de C utilizando uno del os siguientes nombres:

LOL.scr
Webcam.pif
bedroom-thongs.pif
naked_drunk.pif
LMAO.pif
ROFL.pif
underware.pif
Hot.pif
new_webcam.pif

Posteriormente intenta enviar este archivo a todos los contactos activos que utilicen MSN messenger. El destinatario debe de aceptar y abrir el archivo para poder quedar infectado. De no hacerlo así no puede ser infectado por este gusano.

Si algún conocido le envía este archivo, avísele para que actualice su antivirus y recuerde no ejecutar el archivo.

F-Secure detecta y elimina esta nueva versión de Bropia desde el 3 de Febrero del 2005.