Variante de Dorkbot que se propaga por Skype

En los últimos días, usuarios del servicio Skype (VoIP) se vieron afectados por el envío masivo de mensajes instantáneos que propagaban un gusano informático. Se trataba de un archivo ejecutable comprimido en formato "zip" con el nombre "skype_06102012_image.zip". Los mensajes contenían ligas que dirigían al servidor de "hotfile.com" desde donde se podía realizar la descarga del malware.

El mensaje llegaba con el siguiente texto:

lol is this your new profile pic? (¿esta es tu nueva foto de perfil?)

El archivo ejecutable, que lleva por nombre "skype_06102012_image.exe", levanta dos procesos que llevan ese mismo nombre. 

En cuanto a la actividad de red, se vale del proceso "explorer.exe" para establecer dos conexiones a servidores alojados en Estados Unidos, la primera a la dirección IP 63.2.XX.107.62 por al puerto 1863 y la otra conexión es a la  IP 19.7.1XX.240 al puerto 80.

La muestra crea un archivo ejecutable con el nombre "1.exe" en la dirección "C:\Documents and Settings\Administrador\Datos de programa". Posteriormente se borra a sí mismo.

También realiza peticiones queriendo resolver algunos dominios como los mostrados a continuación:

Dejando interactuar a la muestra con Internet, pudimos darnos cuenta de que este malware abre una puerta trasera que permite a los atacantes tomar el control vía remota de la computadora a través del protocolo HTTP, reclutándola para formar parte de una botnet, descargar más archivos maliciosos y posiblemente bajar e instalar el ransomware que bloquea el usuario de la computadora a través de una contraseña.

Durante la actividad de red del malware, también intenta descargar del servidor de "hotfile.com" algunos archivos, pero al estar dados de baja recibe como respuesta un "mensaje de error 302" el cual indica que el archivo fue movido temporalmente y termina la conexión.

También se descubrió que en cada reinicio de la máquina se conectaba a un sitio malicioso diferente, pero siempre era hacia el mismo puerto.

Consultando la firma de la muestra en el servicio VirusTotal, nos arroja que solo 28 de sus 44 soluciones antivirus detectan este tipo de malware y algunos de ellos lo clasifican como una variante del gusano Dorkbot. El reporte es el siguiente: 

Finalmente, cabe destacar que la mayoría de las infecciones por el software malicioso de tipo Ransomware son debido al uso de técnicas de engaño para que los usuarios descarguen y abran los archivos adjuntos en los mensajes de correo electrónico o que lleguen a sitios web que han sido vulnerados y que están alojando el malware en espera de que las víctimas den clic para descargarlo. Una manera de minimizar el daño que puede causar este tipo de amenazas es la creación de respaldos de la información.

Skype exhortó a sus usuarios a actualizar a la versión más reciente y también aplicar las actualizaciones en los equipos.