Un achivo malicioso se está esparciendo entre los usuarios del mensajero de Yahoo!. Symantec lo definió como “muy peligroso”. Te explicamos qué hace y cómo protegerte.
En caso de estar infectado hay que eliminar algunos archivos que crea este programa malicioso:
%Windir% \infocard.exe: es una copia del gusano.
%Windir% \mds.sys
%Windir% \mdt.sys
%Windir% \winbrd.jpg
Windir se refiere a la ruta de la carpeta de Windows. Todos esos archivos hay que borrarlos.
Luego hay que eliminar esta entrada del registro de Windows, utilizando regedit.
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Valor: “Firewall Administrating” = “%Windir%\infocard.exe”
Algunos detalles del gusano:
Gusano para la plataforma Windows que habilita una puerta trasera en el ordenador comprometido y se propaga a través del programa de mensajería instantánea Yahoo! Messenger .- Nombre completo del virus: Malware.W32/Yimfoca@IM+Otros- Tipo de código: Mal: Malware de tipo: Worm [Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.] + Backdoor [Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado].
- Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP (Microsoft Windows XP) / 2003 (Microsoft Windows Server 2003) / 2000 (Microsoft Windows 2000) / NT (Microsoft Windows NT) / Me (Microsoft Windows Millennium) / 98 (Microsoft Windows 98) / 95 (Microsoft Windows 95)
- Mecanismo principal de difusión: IM [Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM.] + Otros [Otro mecanismo de propagación].
- Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
- Alias: W32.Yimfoca (Symantec)
Atención usuarios de Yahoo! Messenger. A estar muy, muy atentos, porque un gusano bastante malintencionado anda merodeando el mensajero.
Symantec lo identificó como W32.Yimfoca y se comprobó que está afectando equipos con Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003 y Windows 2000.
El W32.Yimfoca llega como un mensaje instantáneo (IM) de alguien en la lista de contactos de la víctima, con un link a lo que supuestamente sería una foto en alguna red social, como puede ser Facebook o MySpace. En realidad, al clickear sobre el link un archivo ejecutable (.exe) se descarga en el equipo, lo infecta y comienza a distribuirse entre todas las personas que figuren en la lista de contactos de la víctima.
De acuerdo con información brindada por Symantec, el gusano deja una copia suya escondida en un archivo llamado infocard.exe, se agrega a la lista de excepciones del Firewall de Windows, modifica el registro y frena las actualizaciones automáticas de Windows Update. Aparte, podría interceptar contraseñas y demás datos sensibles.
Yahoo! informó en un post que está al tanto de la existencia del malware y ya está trabajando “para resolver la situación”.
“Recomendamos que todos los usuarios de Yahoo! Messenger que reciban un IM sospechoso con un link, primero envíen un IM a su amigo para asegurarse de que se trate de un mensaje legítimo antes de seguir. Aconsejamos a los usuarios a no descargar archivos ejecutables (.exe) que sean enviados por Yahoo! Messenger,” escribió Thyaga Vasudevan en el blog de Yahoo!.
Antes del link, el IM spammero dice “photo” o “photos”, así que estén atentos si llegaran a recibir alguna de esas palabras en inglés, seguida de una URL. Recuerden no hacer click sobre ningún link cuando desconocen su origen o sospechan de que haya sido enviado por quien dice ser el remitente.