El virus Bugbear sigue infectando a miles de usuarios

Hace ya cerca de una semana desde la aparición del virus Bugbear, y su velocidad de contaminación, su sigilo y las graves repercusiones de su infección lo siguen convirtiendo en noticia. El último anuncio realizado por los expertos de sistemas ha sido contundente. O se conciencia a millones de usuarios de la necesidad de tener antivirus actualizados en su equipos, o nos encontraremos ante uno de los primeros virus cuyas mutaciones lo convertirán en perpetuo.

Debo de reconocerlo en un primer momento desistí de hacer una noticia sobre Bugbear como un grave virus, y la razón es que, dejando de lado su capacidad de infección, no causaba daños en la máquina del usuario. Espero con esta noticia técnica descubrir a más de uno de nuestros lectores que se encuentra infectado por una nueva revolución en los virus. W32.Bugbear o I-worm Tanatos, como es conocido técnicamente, es un archivo de unos 50Kb de tamaño compactado mediante UPX que afecta a todos los sistemas operativos Windows.

Sin embargo los usuarios de Internet Explorer 5.01 o 5.5 son los únicos que pueden ser contagiados por correo. El resto de usuarios necesitan abrir directamente el archivo para su infección. La función del virus es inofensiva para nuestro equipo pero gravísima para nuestros intereses, ya que su principal objetivo es robar contraseñas y tarjetas de crédito para sus programadores.

El funcionamiento de Bugbear no tiene desperdicio. Una vez infectados, se copia mediante cuatro letras aleatorias más la terminación ?.exe? en nuestra carpeta de Windows y se configura para autoarrancarse cada vez que iniciemos el sistema operativo. Después desactiva para su perfecto funcionamiento cualquier clase de firewall o antivirus que tengamos en nuestro equipo, momento en el que empieza a capturar y salvar las pulsaciones de teclado que realicemos en formularios online.

Toda esta información se almacena en un archivo que renombra aleatoriamente a una librería de sistema, y que puede ser accedida externamente a través del puerto 36794 de nuestro equipo. Actualmente solamente sus creadores pueden acceder a la información dado que el programa se encuentra encriptado, pero los avanzados conocimientos de ingeniería inversa de numerosos hackers pueden descifrarlo en pocos días más.

Si esto llegara a suceder, la disposición en formato de código abierto que con toda seguridad según los expertos se haría del programa permitiría a cualquier programador acceder al equipo de los infectados para averiguar qué palabras y números ha salvado el malicioso virus. De momento se han puesto varios equipos infectados controlados para averiguar si algún hacker accedía a la información, y el satisfactorio resultado como mínimo dará un poco más de tiempo a los usuarios para curar sus equipos.

El hecho de que el programa no moleste al usuario en ningún momento lo convierten en un parásito inofensivo si nadie se conecta remotamente a nuestro equipo. Este hecho, como he resaltado al inicio de la noticia es el principal problema, puesto que la mayoría de los usuarios no escanea su sistema en busca de virus hasta que no notan problemas en sus equipos.

La forma más segura de prevenir y curar nuestro equipo, pasa por tener un antivirus instalado con la última actualización. Es el único método seguro para que nuestro equipo detecte primero el virus y segundo sea capaz de eliminarlo en su totalidad del sistema. Espero que la noticia conciencie a los usuarios, un poco más si cabe, de la importancia de desconfiar de la ejecución de ficheros externos desconocidos.