Hispasec ha detectado en las últimas horas una considerable propagación en países de habla hispana de un nuevo gusano que se propaga a través de e-mail. De momento la respuesta de las casas antivirus es bastante irregular, ya que muchas de ellas aun no detectan al espécimen pese a las numerosas incidencias reportadas.

El gusano ha alcanzado el primer puesto en el Top 10 de las muestras más enviadas a VirusTotal en las últimas 24 horas. Un análisis de la procedencia de las mismas indica que son los países hispanoamericanos los más afectados. Esta localización es debida a que el gusano sólo utiliza textos en español para intentar engañar a sus potenciales víctimas.

En el código del gusano, escrito en Visual Basic, podemos encontrar una cadena, a modo de crédito, que situaría su procedencia en España:

-Worm by cUk- : -name Paula- : -version a- : -Date 01/11/04- : -Made in Spanish-:

Adicionalmente, el gusano intenta conectar con el sitio web del
ayuntamiento de Écija, en la provincia de Sevilla, España:

www.ecija.org

En cuanto a la nomenclatura del gusano, en el momento de escribir
estas líneas sólo 4 antivirus han proporcionado firmas específicas
para detectar el gusano, y de nuevo se evidencia la necesidad de
establecer algún mecanismo para homogeneizar los nombres, ya que es identificado de 4 formas distintas: Anzae, Inzae, Pawur y Tasin.

En primer lugar destacaría NOD32 por detectarlo mediante heurística antes de que se produjera su propagación:

NOD32 :: probably unknown NewHeur_PE

A continuación los tiempos de reacción, hora española, de los 4
antivirus que hasta el momento han proporcionado firmas específicas. En este caso, a diferencia de otros gusanos de propagación masiva, podemos observar que existen diferencias significativas en las respuestas, destacando Panda que detectaba el gusano desde el día 19 y Kaspersky desde el día 21, horas antes de que se produjeran los mayores ratios de propagación del gusano:

Panda 19.11.2004 18:51:04 :: W32/Tasin.A.worm
Kaspersky 21.11.2004 04:18:37 :: I-Worm.VB.w
TrendMicro 22.11.2004 23:20:59 :: WORM_ANZAE.A
eTrust-Iris 23.11.2004 00:54:50 :: Win32/Inzae.A.Dropper

Adicionalmente Kaspersky actualizó su firma el día 22 para modificar el nombre con que detectaba al gusano:

Kaspersky 22.11.2004 04:05:02 :: I-Worm.Pawur.a

En la madrugada del día 23 aun no detectan al gusano los siguientes motores antivirus:

AntiVir :: [no ha detectado nada]
BitDefender :: [no ha detectado nada]
ClamAV :: [no ha detectado nada]
DrWeb :: [no ha detectado nada]
F-Prot :: [no ha detectado nada]
McAfee :: [no ha detectado nada]
Norman :: [no ha detectado nada]
Sophos :: [no ha detectado nada]
Symantec :: [no ha detectado nada]

En cuanto al gusano, se propaga a través del correo electrónico con unos textos fijos tanto en el asunto, cuerpo del e-mail, y nombre del archivo adjunto, que elige al azar según las siguientes listas:

Asunto:

re:Amor verdadero
re:Como el aire...
re:Crees que puede ser verdad?
re: Dejate de rollos y vivé!!!
re:Eso con queso rima con...xD
re:La Luna
re:Neptuno y Mercurio
re:Psicología
re:xD no me lo puedo creer!!
re:Voodoo un tanto ps...


Cuerpo:

Crees en el amor de verdad?,miralo y ya hablamos,ciaooo
Esa moribunda y solitaria Luna,Impresionante!chao.
Mira lo que te mando y ya verás que los detalles mas pequeños son los que importan,ciaoo
No comment,xDD ,Nos vemos!!
No veas que cosas xD,luego me cuentas,chao.
Que relación tienen estos planetas?,miralo y luego me cuentas,chao.
Renvíalo a todo que es que se meannn xD,nos vemos!
Será cierta la magia negra?,sal de dudas y ya me cuentas,chao.
Test para ver si andas bien de las neuronassss!xD,luego hablamos,chao.
Ver es creer!!!!chaoo.

Nombre del archivo adjunto:

D-Incógnito.zip
EL_rechazo.zip
Love-Me.zip
Moon(Luna).zip
My life(Mi vida).zip
Para-Brisas.zip
Planetario.zip
Psíquico-Mix.zip
Rimaz.zip
Voodoo!.zip

Herramienta de limpieza automática:
Descargue y ejecute esta herramienta en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.

Future Time Srl (NOD 32)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Pawur

Mas informacion Hispasec