Gusano ataca en grupo a través de MSN

Con el propósito de controlar ambas epidemias, Trend Micro ha lanzado una alerta de riesgo medio por WORM_KELVIR.B y WORM_FATSO.A. Aunque se supone que no están conectados entre sí, estos gusanos funcionan de manera similar: envían a los usuarios un mensaje a través de la mensajería instantánea con enlaces a sitios Web donde los usuarios descargan sin saberlo el propio gusano. En el caso de WORM_KELVIR.B, una vez ejecutado este gusano descarga un programa robot (o BOT) que podría abrir puertas traseras en las redes, y que los productos de Trend Micro detectan como WORM_SDBOT.AUK.
Tanto WORM_KELVIR.B como WORM_FATSO.A son gusanos residentes en memoria y propagan copias de sí mismos a todos los contactos activos de MSN Messenger del sistema infectado. El mensaje contiene un enlace a un sitio web, cuando el receptor hace clic en el enlace, una copia del gusano se descarga en su sistema. WORM_FATSO.A también se propaga a través de eMule, la aplicación P2P para compartir archivos.
A continuación se muestran sendas ventanas de MSN Messenger, tal y como se observa durante los intentos de propagación de KELVIR.B y FATSO.A
WORM_ KELVIR.B se propaga enviando una liga para descargar el archivo infectado desde un sitio Web. WORM_FATSO A envía también una liga, que al hacer clic el ella, descarga el archivo contaminado.
Las similitudes entre estos gusanos pueden ser atribuidas a la propagación del código de MSN que ha sido publicado en foros utilizados por escritores de virus.
WORM_FATSO.A deja varios ficheros en los sistemas afectados – los nombres de ficheros van desde personas famosas (“Fat Elvis! Lol.pif”, “Jennifer Lopez.scr”) hasta nombres que sugieren contenido para adultos (“How a Blonde Eats a Banana.pif”, “Topless in Miniskirt!lol.pif”).
Uno de los archivos es un fichero de texto que contiene un mensaje personal para “Larissa”, el creador del virus WORM_ASSIRAL.A (descubierto a mediados de febrero), que fue diseñado para desactivar las variantes del gusano BROPIA, un gusano basado en MSN Messenger que apareció a principios de año. WORM_ASSIRAL.A llega en un archivo adjunto de correo electrónico y causa que aparezca en el ordenador infectado este texto: “Larissa – Anti-Bropia – Freeing the world of Bropia”.