Según informó Hispasec, se trata del gusano con mayores índices de propagación en estos momentos.
Entre otras vías de infección se destacan los mensajes que envía simulando proceder de un servicio de Microsoft, donde informa al usuario de que debe instalar el ejecutable que adjunta (el gusano) para proteger su sistema contra las últimas amenazas de seguridad. Swen está desarrollado en Microsoft Visual C++, tiene un tamaño de 105KB, y afecta a los sistemas Windows. Usuarios, profesionales, y entornos que utilicen otros sistemas operativos, como Linux o Mac OS, están fuera de peligro. Lo primero que se percibe de Swen es el cuidado formato del mensaje, que por ser muy similar a las páginas web de Microsoft sin duda está logrando engañar a muchos usuarios.
Desde las direcciones de remite, con nombres como MS Technical Assistance o Microsoft Internet Security Section, hasta el cuerpo del mensaje en formato HTML y los logotipos, el texto supuestamente ofrece un parche para cerrar presuntos agujeros detectados en la seguridad del Windows, Internet Explorer ó Outlook de la PC, así como enlaces a direcciones reales de la web de Microsoft.
Por su aspecto engañoso muchos usuarios terminan instalando el ejecutable que adjunta al mensaje creyendo que se trata de un parche oficial de Microsoft, provocando en realidad la infección de sus sistemas. Hispasec reiteró, como norma básica y general frente a los virus informáticos, que no se deben ejecutar los archivos adjuntos y, en el caso concreto de Microsoft, recalcó que nunca distribuye actualizaciones o parches por e-mail. Swen también intenta explotar una vieja y conocida vulnerabilidad de Internet Explorer para lograr ejecutarse de forma automática sin necesidad de que el usuario abra el archivo de forma manual.
Esta vulnerabilidad (iframe/mime), que data de marzo del 2001, es la misma que aprovechan gusanos como Klez, y se estima que la mayoría de los usuarios no son vulnerables a la misma. Otras vías de propagación utilizadas por Swen son el IRC, las redes P2P, los grupos de noticias y los recursos compartidos.
En cuanto a las redes P2P, Swen intenta localizar en los sistemas la carpeta de archivos compartidos del programa KaZaa (cliente P2P), y realiza varias copias del gusano con distintos nombres simulando ser utilidades, programas de hacking, salvapantallas, etc. Estos archivos, además de los que crea en la carpeta temporal de Windows, pasarán a estar compartidos en la red P2P, y cualquier usuario de la misma puede descargar el gusano creyendo que se trata de un programa legítimo.
La propagación a través de las redes locales la realiza copiándose en las carpeta de inicio de todas las unidades de red mapeadas. El código del gusano también incluye un listado de servidores de news a los que se envía. Por último, además de los mensajes en los que simula ser una actualización de Microsoft, Swen también se presenta de otras formas por e-mail. Por ejemplo, finge ser un mensaje rechazado por el servidor de correo, tipo:Remite: Email Delivery Service Asunto: Returned Response Cuerpo: Undeliverable mail to ñdirección de correoí.
Fuente: EmpresasNews
|
El nuevo gusano Swen o Gibe, objeto de alerta grado cuatro hoy por el Centro de Alerta Antivirus (CAT), tiene como característica principal que simula ser una actualización de Microsoft enviada por correo electrónico. 
