Cuando hablamos del envío de malware a través de mensajería instantánea, automáticamente nos viene a la cabeza la ventana del Windows Live Messenger y alguno de nuestros contactos invitándonos a pulsar un enlace sospechoso. No obstante, a pesar de que sea el servicio de mensajería instantánea más usado, Windows Live Messenger no es el único utilizado por los creadores de malware para propagar sus creaciones.
Veamos a continuación como recibimos un mensaje sospechoso de uno de nuestros contactos usando el servicio de mensajería Google Talk:
El mensaje en inglés y el enlace a un sitio desconocido ya nos debería hacer sospechar de la finalidad maliciosa de ese enlace. A modo de prueba, decidimos pulsar sobre el enlace, abriéndose la ventana del navegador Internet Explorer. Cuando el navegador intenta acceder al sitio web, el antivirus nos avisa de que se está intentando acceder a un sitio inseguro y bloquea el acceso.
Con la finalidad de investigar un poco más acerca de este malware, decidimos acceder a este enlace usando una distribución GNU/Linux Ubuntu 9.10, con el navegador Firefox y el antivirus desactivado. Accedemos a una web donde se nos invita a descargar una barra de herramientas con supuestas funciones de personalización de nuestro perfil de la red social MySpace.
Al pulsar sobre el botón de descarga, aparece una nueva web que nos indica los pasos a seguir para descargar el fichero ejecutable. Estas instrucciones son comunes para los navegadores Internet Explorer y Firefox (sobre cualquier plataforma).
Decidimos probar con otro navegador para ver si se repiten los mismos pasos y usamos Konkeror. Observamos como la web detecta que no usamos Internet Explorer (curioso, ya que en el paso anterior usamos Firefox y no nos mostró esta alerta) y nos invita a descargar directamente el instalador de esta barra de herramientas para que lo ejecutemos en nuestro sistema.
En esta ocasión, decidimos activar el antivirus ESET NOD32 para GNU/Linux en fase beta que tenemos instalado en el sistema, y vemos como detecta la descarga de una aplicación potencialmente peligrosa identificada como Win32/Toolbar.MyWebSearch.K.
Esta barra de herramientas es conocida por ser uno de los Adware (publicidad no deseada) y, en alguna de sus variantes, Spyware (software espía) mas propagadas actualmente, por lo que desaconsejamos su instalación.
Sirva este ejemplo para demostrar que Windows Live Messenger no es el único sistema de mensajería instantánea usado para propagar malware ya que, tal y como ocurre con los sistemas operativos, si la mayoría de ataques de este tipo van dirigidos hacia él es por la gran cantidad de usuarios que lo usan.
Josep Albors.