Los laboratorios de ESET en Eslovaquia nos avisan de un nuevo gusano que se propaga rápidamente y que modifica el primer sector (MBR) de todos los discos a los que tenga acceso. El problema es mas grave si tenemos en cuenta que la recuperación de los datos almacenados en los discos afectados resulta difícil y puede requerir la ayuda de programas o profesionales especializados en estos menesteres.
Aunque originalmente este gusano tenía como objetivo una asociación de moteros del centro de Eslovaquia, en el momento de publicar esta noticia, ya se había extendido a varios países europeos (entre los que se incluye España), EE.UU. y Tailandia.
Hasta ahora, los laboratorios de ESET han conseguido identificar dos variantes de este gusano, conocidas como Win32/Zimuse.A y Win32/Zimuse.B, variantes que difieren en el modo de propagación y el tiempo de activación. Mientras la variante A necesita 10 días antes de empezar a propagarse usando dispositivos USB, la variante B tan solo necesita 7 días. En cuanto a la ejecución de la rutina que deja los discos inservibles, la variante A tarda 40 días en activarse mientras que la variante B reduce este tiempo a la mitad. No obstante, si se usa un método de desinfección inadecuado, el gusano activa inmediatamente su rutina destructiva, como si hubiésemos cortado el cable equivocado al tratar de desactivar una bomba.
Este gusano utiliza dos vías de propagación, bien introduciéndose en páginas web legítimas en forma de un archivo ZIP autoextraible o un programa para evaluar el coeficiente intelectual, o bien usando medios extraíbles como puedan ser las memorias USB. Ha sido este segundo método, el principal responsable de su rápida propagación, la cual, según los últimos datos recibidos, esperamos que siga creciendo.
Es curioso y atípico encontrar, a día de hoy, ejemplares de malware como el aquí descrito. Muestras como esta pertenecen a la vieja escuela de creadores de virus, que no perseguían (en su mayoría) un fin económico. En este caso en concreto, tampoco vemos mucha sofisticación a la hora de escribir el código ya que ni siquiera cifra el contenido del disco atacado y tan solo busca corromper el MBR.
Aquellos usuarios que utilicen soluciones actualizadas de ESET como ESET NOD32 Antivirus y ESET Smart Security pueden estar tranquilos, ya que este gusano está detectado y su solución de seguridad podrá eliminarlo sin problemas. En el caso de que lo necesitase, ESET ha puesto a disposición de los usuarios una herramienta de limpieza específica para esta amenaza.
Aunque las nuevas amenazas tienen un nivel de propagación muy elevada, no debemos olvidar que códigos maliciosos diseñados a la antigua usanza también pueden beneficiarse de los medios de interconexión entre ordenadores y la velocidad de las redes actuales. Asimismo, amenazas de este tipo nos recuerdan la importancia de realizar copias de seguridad de nuestros discos para evitar perder información valiosa en el caso de que sufran algún daño.
Josep Albors