Nuevo Gusano se disemina por Messenger MSN

Nombre: Bropia.A
Alias: IM-Worm.Win32.VB.a

Bropia.A es un gusano que utiliza el messenger MSN para diseminarse auto-enviándose como "Drunk_lol.pif", "Webcam_004.pif", "sexy_bedroom.pif", "naked_party.pif" o "love_me.pif". Así también envía una variante de Rbot a la computadora infectada.

Descripción Detallada

Cuando el gusano se ejecuta en la pc, este busca los siguientes archivos:

adaware.exe
VB6.EXE
lexplore.exe
Win32.exe

Si se encuentran entonces descarga el archivo oms.exe y lo ejecuta. Este archivo es una variante de Rbot. Cuando oms.exe se corre, se autocopia como "lexplore.exe" y agrega las siguientes llamadas del registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"lexplore" = "lexplore"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"lexplore" = "lexplore"

Lo anterior asegura que se ejecutará la siguiente vez que el sistema reinicie. Rbot puede ser usado como un backdoor, para obtener información del sistema, para guardar en un archivo lo que se ha escrito, enviar spam y otros propósitos.

Brobia.A puede deshabilitar el botón derecho del mouse y manipular la configuración del volumen de Windows.

Diseminación por MSN

El gusano se copia al directorio C utilizando uno de los siguientes nombres:

Drunk_lol.pif
Webcam_004.pif
sexy_bedroom.pif
naked_party.pif
love_me.pif

Posteriormente intenta enviar este archivo utilizando el messenger MSN a todos los contactos activos. La ventana de MSN no tiene que abrirse en la computadora que ha sido infectada, por lo que el usuario no se da cuenta de lo que esta pasando.

F-Secure detecta este gusano desde el 20 de enero del 2005, recuerde mantener actualizado su antivirus. Y sí recibe un mensaje de algún contacto con estos archivos, por favor avísele y borre el archivo de forma inmediata.