Njw0rm se robó hace casi dos años y es ahora cuando se
comienzan a ver las primeras variantes que surgidas gracias al código de este
troyano.
El código fue robado
durante un hackeo que sufrió una página web especializada en compartir este
tipo de contenido y desde entonces no se había vuelto a tener ninguna noticia
relacionada con este malware. Kjw0rm y
Sir DoOom son dos la gran cantidad variantes que se han creado utilizando las
líneas de código robadas, aunque todo hay que decirlo, de momento solo estos
son los que más difusión están teniendo.
Aunque aún no existe mucha
información sobre estas variantes, sí que se ha concretado que existe una gran
cantidad de mejoras con respecto al punto de partida, es decir, las líneas de
código que fueron robadas. Ambas continúan estando programadas en Visual Basic.
Detección de máquinas
virtuales y sandbox
- Haciendo
mención a una de las mejoras más destacables, se ha comprobado que las
nuevas versiones poseen un mecanismo capaz de detectar si el ejecutable se
encuentra aislado en una máquina virtual o en una snadbox. De este modo se
evita que este se instale, procediendo posteriormente a su borrado.
- Con
respecto a la distribución, los expertos en seguridad han concretado que
este tipo de software se está encontrando principalmente en medios
extraíbles, por lo que es de imaginar que la principal vía de difusión sea
este medio. Hasta este momento no se ha detectado ninguna página que los
esté distribuyendo ni ningún correo electrónico que los posea como archivo
adjunto.
Instalación remota de
software y monitorización del equipo
- Además
de lo comentado con anterioridad, se sabe que el software permite
monitorizar la actividad del equipo e instalar programas adicionales,
aunque se desconoce qué programas se están instalando en aquellos equipos
que estén infectados, es decir, la finalidad que poseen.
- Los
expertos en seguridad recomiendan mucha precaución a los usuarios de
equipos con sistema operativo Windows a la hora de conectar unidades USB,
sobre todo si se desconocen los equipos dónde han estado conectadas, ya
que podrían estar infectadas.
