• Tweet

En las últimas horas el UNAM-CERT ha estado recibiendo reportes de una nueva variante del gusano Bropia que se propaga a través del Messenger de MSN e instala un componente de puerta trasera (llamado Rbot por F-Secure y W32.Spybot.worm por Symantec). Esta nueva variante es mucho más rápida en su velocidad de propagación. Haury Antivirus esta dando seguimiento a esta variante como Worm.Win32.Bropia.188928.

Cuando infecta el sistema, queda residente en memoria, se esparce a través del MSN Messenger. Crea un Rbot el cual lo copia a las carpetas compartidas de la red. Posteriormente se conecta a un canal de IRC y abre una conexión que permitiría un ataque. Tiene funciones de Backdoor.

Toma solamente los contactos del Messenger y envía un archivo a todos esos contactos.

Se copia a la carpeta Sistema, y crea los archivos con los siguientes nombres:

• LOL.scr
• Webcam.pif
• bedroom-thongs.pif
• naked_drunk.pif
• LMAO.pif
• ROFL.pif
• underware.pif
• Hot.pif
• new_webcam.pif

La carpeta de Sistema puede variar de acuerdo a configuraciones y sistemas diferentes. Esta es generalmente:

• C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000),
• C:WindowsSystem32 (Windows XP)

Se recomienda no aceptar ningún tipo de archivo que provenga del Messenger.