Gusanos y troyanos que se aprovechan del Katrina

n correo electrónico que simula ser una noticia sobre el Katrina, en realidad lleva a un sitio que intenta infectar a los usuarios con un spyware.

Archivos descargados de redes P2P, o enviados como adjuntos en mensajes no solicitados con nombres como VIDEO_KATRINA.EXE, KATRINA_NEWS.ZIP y otros, o páginas o documentos HTML con el nombre de "Katrina killed as many as 80 people..htm", son solo algunos ejemplos.

En el primer caso (VIDEO_KATRINA.EXE), es distribuido o descargado de Internet en un ZIP llamado VIDEO_KATRINA.ZIP. Si el usuario descarga y abre este archivo, se ejecuta en su máquina un troyano que NOD32 identifica como Win32/TrojanDownloader.Small.BJY. El mismo solo se conecta a un sitio web determinado, para descargar y ejecutar otro troyano detectado como Win32/StartPage.AAM. Este último crea enlaces pornográficos en el escritorio de Windows, y cambia la página de inicio del Internet Explorer.

El segundo, es una página que intenta aprovecharse de una vulnerabilidad en el objeto "HTML Help ActiveX control" de Windows, que permite la ejecución remota de código en los sistemas afectados, y Microsoft publicó un parche para la misma en enero de 2005. El código es identificado como una variante del JS/ObjID.C por NOD32.

También han sido reportados sitios que simulan ser de PayPal, la conocida plataforma de pago on-line, creados para reunir fondos de ayuda, pero que en realidad capturan detalles financieros de confiados usuarios que creen estar colaborando con las víctimas.

Ya existen más de 250 dominios registrados utilizando las palabras "hurricane" y "katrina", según una lista mantenida por el Internet Storm Center (ISC), el centro de alertas del Sans Institute, que permanentemente monitorea toda actividad sospechosa a través de Internet.

Algunos de estos registros tienen razones legítimas para haber sido creados, otros pretenden sacar provecho del desastre a través de esquemas de dudosa ética, según el ISC. Muchos de estos nombres de dominio son puestos en remate por cientos de dólares, con la excusa de que la venta es por caridad a los damnificados por la tormenta tropical, aunque nada controla que solo una pequeña fracción de este dinero sea finalmente empleada en ayuda a las víctimas.

Pero el mayor peligro, seguirá siendo el envío de spam, o bien con adjuntos con nombres relacionados con el huracán, o bien con enlaces a sitios con información o sitios de recaudación de fondos.

Es en casos como éste, en que la solidaridad y voluntad de ayudar a las víctimas pueden ser incentivos muy fuertes, cuando más debemos recordar que JAMAS hay que abrir adjuntos no solicitados, ni mucho menos seguir enlaces encontrados en mensajes de correo electrónico o mensajería instantánea, que no hayamos solicitado.