Actualmente, el gusano Win32.Worm.Downadup utiliza dispositivos de almacenamiento USB para propagarse. Dicho malware actúa replicándose en una carpeta al azar dentro de la carpeta RECYCLER, utilizado por la Papelera de Reciclaje para almacenar archivos eliminados, y creando un archivo autorun.inf en la carpeta principal del dispositivo infectado. El gusano se ejecuta automáticamente si está activada la opción Autorun.
El gusano también parchea ciertas funciones TCP para bloquear el acceso a páginas web de seguridad mediante el filtrado de las direcciones que contengan ciertas cadenas de texto. Esto hace más difícil su eliminación, ya que obtener información de un equipo infectado es casi imposible. Además, suprime todos los derechos de acceso del usuario, excepto la ejecución y utilización del directorio, con el propósito de proteger a los archivos infectados.
El gusano está también preparado para evitar su detección por antivirus, ya que trabaja con APIs poco comunes para sortear tecnologías de virtualización, al tiempo que desactiva las actualizaciones de Windows así como de cierto tráfico de la red, y optimizando las características de Vista para facilitar su expansión.
Win32.Worm.Downadup.B se presenta con un algoritmo de generación de nombres de dominio similar al que se encuentra en botnets como Rustock. Dicho gusano genera 250 dominios diarios y revisa alguno de ellos en busca de actualizaciones u otros archivos que descargar e instalar. Dotado de un sistema de actualización de última generación, este gusano representa una buena combinación de protecciones que accede a gran cantidad de usuarios que no actualizan sus sistemas, por lo que podría convertirse en firme sucesor de botnets todavía vigentes como Storm o Srizbi.
No hay comentarios