En la siguiente imagen puede apreciarse uno de estos sitios alojando un script que permite la descarga de una variante que ESET NOD32 detecta como Win32/Nuwar.BC.

Debido a la amplia repercusión por correo electrónico, que este gusano ha tenido en el último tiempo, esta vez no ha elegido el spam como medio de propagación sino la utilización de estos clásicos sitios como el mostrado en la imagen y la creación de post falsos en diversos blogs de Blogger (propiedad de Google).

Luego de infectar un equipo, el gusano verifica que el usuario ingrese a su cuenta de BlogSpot y luego de obtenidas las credenciales de acceso postea automáticamente mensajes aleatorios y un enlace a sí mismo.

De esta forma, cualquier persona que ingrese al blog afectado, creerá que su autor ha posteado el mensaje falso, haciendo clic sobre el enlace que se ofrece y descargando un archivo ejecutable (el gusano). De esta manera el nuevo usuario será infectado.

Los enlaces mencionados generalmente redirigen al usuario a dominios gratuitos de Geocities, que contienen exploits que se encargan de descargar archivos dañinos y ejecutarlos sin acción del usuario.

Aquí radica la importancia de mantener un firewall activo, el software y el antivirus actualizado.

Lic. Cristian Borghello
Technical & Educational Manager

Fuente:
ESET Latinoamérica
http://www.eset-la.com
http://blogs.eset-la.com