Un malware muy (poco) profesional

Uno de los falsos mitos respecto a los códigos maliciosos, es que para desarrollar uno de estos, es necesario ser un genio en la programación, un “loco” de las computadoras y la seguridad, un ser con muchas capacidades para escribir códigos capaces de propagarse por la red y causar daños a las computadoras de cientos, o miles de usuarios.

Aunque es cierto que en la actualidad es importante el nivel de profesionalismo de los creadores de códigos maliciosos (que desaprovechan su cerebro), y que estos han mejorado sus técnicas y características; la realidad es que también existen muchos amateurs desarrollando este tipo de aplicaciones. Y algunas de sus creaciones llegan a los usuarios y a nuestro Laboratorio.

Uno de los códigos malicioso en cuestión, detectado por ESET NOD32 como VBS/KillFiles.C troyano, llega al usuario enmascarado como una imagen de Maradona, bajo los nombres de archivo “Maradona Foto“, “Shakira Foto” y “Mi foto“, siendo ocultada en cualquier versión de Windows instalada por defecto, la extensión del tipo .vbs (de Visual Basic, el lenguaje de programación utilizado).

Como les mencionaba, no es necesario ningún procedimiento muy complejo para conocer qué intenciones tiene el código malicioso. No hay que desempaquetar el archivo, no hay ningún código ofuscado, ni nada por el estilo. Solo es necesario abrir el mismo, ¡con un bloc de notas!

Así de fácil, podremos conocer mucha información sobre el creador, y el código malicioso, tal como:

  • El supuesto lugar de residencia del creador, y su compromiso con la justicia social (FuenteAlba fue un maestro argentino, que fue asesinado por la policía en una manifestación de docentes en la ciudad de Neuquen, Argentina)

    Amateur Malware

  • El archivo se copia a sí mismo y se modifica el registro de Windows para ejecutarse en el próximo inicio de sesión

    Amateur Malware

  • El código chequea todas las unidades disponibles y almacena todas las carpetas disponibles

    Amateur Malware

  • Para cada carpeta almacenada previamente, se llama a una función BORRAR()

    Amateur Malware

  • La función elimina todos los archivos que posean alguna de las extensiones indicadas, y crea un archivo TXT indicando que “los archivos originales fueron destruidos”

    Amateur Malware

Aunque la amenaza no es de gravedad (el código está pobremente desarrollado y el archivo no puede ejecutarse en la mayoría de los sistemas), la realidad es que el autor lo liberó en Internet como troyano, lo que demuestra que está “jugando” con la creación de archivos dañinos.

Como verán, todavía quedan algunos “programadores” desarrollando códigos maliciosos sólo con el fin de molestar.

Sebastián

Autor , ESET

  • Hola mi primo tiene el nod32 antivirus v 3 y yo le digo que se cambie al nod32 4 pero el no quiere.Mi pregunta es la version 3 todavia sigue recibiendo actualizaciones o ya lo dejaron de dar espero una pronta constestacion

    • Hola Carlos:

      Todas las versiones de ESET NOD32 reciben actualizaciones pero lo mejor siempre es cambiar a la versión más reciente del producto.

      Cristian

  • lost-perdidos

    Al fin y al cabo todo esto supone un negocio, pues si no existiera este tipo de archivos, NOD32 tampoco existiría.

    • Hola lost-perdidos:

      Este tipo de archivos existe porque los humanos siempre hemos tendido a causar daños, desde que existimos.
      Más allá del daño, el malware actual existe por fines económicos.

      Cristian

  • a mi me daño los mp3’s se volvieron texto y cuando los abro me sale el mensaje “Y LOS ARCHIVOS ORIGINALES FUERON DESTRUIDOS”… ALGUIEN SABE SI SE PUEDEN VOLVER A LA NORMALIDAD LOS ARCHIVOS DAÑADOS…???

    • Hola DjDanny,

      Si estás hablando exactamente del mismo malware que mencionamos en el post, parece ser que elimina los archivos.

      De todas formas, lee nuestra FAQ, la pregunta 13 para contactar al soporte técnico si necesitas más información.

      Sebastián

  • Claudio

    Por el razonamiento teórico-conspirativo-anti-negocios de lostperdidos, creo que podría ser el autor de este malware.

    Esas insinuaciones supongo que lo hacen acreedor de la típica frase estadounidense (traducida): “Consigue un trabajo!!!”

  • Didier

    jajaja que menso jajaj… peor cuidado porque los que ahora son buenos con las PC creo que asi empezaron tambien. jeje saludos

  • Adolso

    El virus me daño unos archivos de la tesis Doctoral que estoy desarrollando y necesito recuperarlos, alguien me podri ayudar en esto.

    Aparece un oración que dice

    YO
    LOS ARCHIVOS ORIGINALES FUERON DESTRUIDOS

    • Hola Adolso,

      Ante estos casos es recomendable contactar al soporte técnico que están para ayudar ante este tipo de incidentes.

      Sebastián

  • rafael

    Saludos.. Me apareció en el PEN drive 3 archivos: Maradona, Shakira y Mi foto, todos .vbs. Luego de intentar borrarlos me di cuenta que me modificó la mayoría de archivos xls, jpg, doc. Necesito saber si estos archivos se pueden recuperar porque son de suma importancia. Nota cuanto abro alguno de estos archivos me dice YO LOS ARCHIVOS ORIGINALES FUERON DESTRUIDOS. Ayuda por favor. Gracias

    • Hola rafael,

      Habría que ver si el malware modificó los archivos o los eliminó, y en función de eso ver si es posible recuperarlos. Contacta al soporte técnico para que puedan hacer un análisis particular de tu caso.

      Sebastián

Síguenos