+ltima hora
Ha llegado a nuestro laboratorio un nuevo gusano, por lo que hemos podido comprobar en un primer análisis el ejemplar llega al buzón de correo en forma de mensaje proveniente de un conocido y con un archivo adjunto. El asunto del mensaje tan sólo muestra un smiley («:)»),el cuerpo del mensaje contiene la firma de la dirección del remitente y el archivo adjunto tiene el nombre de «setup.exe», con el clásico icono de programas de instalación autoexpandibles (una caja abierta con un icono de programa de fondo).
Otra característica destacable en «Cholera» es su capacidad de reproducirse a través de las unidades compartidas en las redes locales. El gusano chequea los recusos compartidos y detecta las unidades a las que tiene acceso, se introduce en ellas copiándose, y modifica la entrada «RUN=» del fichero WIN.INI para asegurarse su ejecución en el próximo inicio del sistema. A destacar también, se encuentra el grado de compatibilidad que ofrece «Cholera», que puede infectar a las diferentes versiones de Win32.
Pero el poder de este gusano va mucho m s lejos, ya que una vez que ha completado su ciclo de vida reproductivo como gusano se transforma en un virus de Windows de oltima generaci¢n con caracter¡sticas de encriptaci¢n y polimorfismo. Todav¡a no estamos en condiciones de poder ofrecer informaci¢n adicional sobre ‘l, sin embargo, nuestro especialista en virus, Giorgio Talvanti, est en estos momentos realizando un an lisis paralelo sobre este ejemplar, del cual os ofreceremos una mayor informaci¢n en breve.
Nuestro especialista informa que «Cholera» es la m s reciente creaci¢n de GriYo, el conocido creador de virus perteneciente al grupo 29A. Conociendo la trayectoria de este programador podemos preveer que el virus no tenga ningon efecto da_ino directo, y que su payload se base en algon efecto gr fico, tal y como ocurre en el resto de sus creaciones.
HISPASEC
Antonio Ropero/Bernardo Quintero
