La amenaza del gusano Waledac, cuya difusión se hizo masiva por el día de los enamorados, sigue latente. Como ya habíamos anunciado desde el laboratorio de ESET Latinoamérica, sus autores mantienen un constante trabajo por mantener en crecimiento la propagación de la amenaza.

Sobre finales de febrero, cuando el mundo se olvidaba de San Valentín, todos los sitios que contenían la amenaza fueron alterados, modificando sus técnicas de Ingeniería Social por el ofrecimiento de cupones de descuento.

Tres semanas después, detectamos nuevamente la modificación de las gráficas en los dominios afectados y, por lo tanto, las técnicas de engaño. El nuevo aspecto de esta amenaza es el siguiente:

Como se puede observar, el sitio anuncia un atentado en una ciudad determinada y ofrece un video informativo al respecto. Para visualizar el video, se informa al usuario que debe descargar Flash Player, siendo finalmente un enlace al código malicioso.

Vale la pena resumir las similitudes, además de los dominios utilizados, que corroboran la continuidad de la amenaza:

  • El usuario llega al sitio web a través de un correo electrónico no deseado
  • El sitio web posee la descarga de un archivo con extensión .EXE
  • El sitio web posee un iframe que utiliza una técnica de  Drive-by-Download para infectar
  • Los archivos continúan realizando tareas maliciosas similares en los sistemas

El correo electrónico que recibe el usuario mantiene las mismas propiedades que los utilizados anteriormente: pocas palabras y un enlace al sitio malicioso.

Sin embargo, además de la temática, aparecen algunas diferencias en este último cambio:

  • El sitio web posee, además de los archivos maliciosos, dos links inofensivos: uno a la Wikipedia y otro a una búsqueda de Google.
  • Los nombres de los archivos descargados ofrecen nuevas variantes relacionadas a la temática, como main.exe, contact.exe, news.exe.
  • El sitio web anuncia el atentado en diferentes ciudades, según la dirección IP que acceda al sitio web. De esta forma, las atacantes aumentan la probabilidad de que la noticia sea de impacto para el usuario.

En la imagen superior se puede ver un supuesto atentado en la ciudad de Buenos Aires y la siguiente imagen muestra la variación del anuncio, accediendo desde diferentes lugares del mundo:

Los usuarios de ESET NOD32 siguen protegidos ante esta cambiante amenaza, ya que los archivos son detectados por heurística como "variantes de Win32/Waledac".

Los creadores de Waledac continúan trabajando para aumentar la propagación y lograr que esta sea una de las amenazas de mayor difusión en lo que va del año.

Actualización 01/04/2009: desde ESET hemos publicado un informe sobre Waledac.

Sebastián