Paralización total del equipo atacado

La restauración de los archivos afectados es complicada, y requiere el
uso de software especializado o la intervención de un experto.

ESET ha alertado sobre
la difusión en todo el mundo de un gusano que afecta al sector de
arranque de los ordenadores, o Master Boot Record (MBR). 

Diseñado inicialmente como una broma
dirigida a una pequeña comunidad de la región central de Eslovaquia, el
gusano Win32/Zimuse.A y Win32/Zimuse.B ha alcanzado notoriedad en todo
el mundo. Se trata de una amenaza que sobrescribe todos los MBR de los
discos disponibles con sus propios datos, haciendo inaccesibles los
datos almacenados en el equipo del usuario. Además, la restauración de
los archivos afectados es complicada, y requiere el uso de software
especializado o la intervención de un experto.

Desde la
aparición del gusano, ESET lo ha bloqueado en cientos de ordenadores de
sus usuarios. Inicialmente sólo afectó a usuarios en Eslovaquia, donde
registró más del 90% de las infecciones totales. Actualmente, el mayor
número de ordenadores infectados se registra en los Estados Unidos,
seguido por Eslovaquia, Tailandia, España, Italia, República Checa y
otros países europeos.

El gusano utiliza dos vías de infección,
bien a través de su inserción en webs legítimas, en forma de archivo
ZIP autoextraíble o de programa de prueba para evaluar el CI, o bien a
través de dispositivos como las memorias USB. El hecho de que utilice
dispositivos USB para propagarse es el responsable de su rápida
diseminación, que se espera que aumente todavía más.

Esta
amenaza no posee un grado de sofisticación como para cifrar los datos
del disco, y en su lugar fue diseñada para corromper el Master Boot
Record de las unidades de memoria física. Emula amenazas antiguas en
las que incorpora un tiempo de activación, que en el caso de la versión
Win32/Zimuse.A es de 40 días una vez se instala en el equipo.

Hasta
la fecha, las dos variantes del gusano difieren en el método de
difusión y en el tiempo de activación. Mientras que la variante
Win32/Zimuse.A necesita 10 días para comenzar a distribuirse a través
de dispositivos USB, la variante Win32/Zimuse.B necesita sólo 7 días
para hacerlo. Además, el tiempo necesario para la ejecución de sus
rutinas destructivas también se reduce en la variante Win32/Zimuse.B
desde los 40 días de la variante original a sólo 20 días.

Por
otra parte, si no se utiliza el método de desinfección adecuado, el
gusano activa su modo destructivo. Es una situación similar a hacer la
elección acertada sobre qué cable cortar, y en qué orden, al desactivar
una bomba.

Se sospecha con bastante certeza que el gusano fue
diseñado para infectar los ordenadores de un club de motociclistas en
la región de Liptov, en el centro de Eslovaquia. Sin embargo, se ha
difundido más allá de su objetivo una vez que comenzó a atacar redes
corporativas. Y lo que es más, recuerda a la conocida amenaza OneHalf
por el comportamiento del gusano, el país de origen (ambos originados
en Eslovaquia) y el daño que causa (la paralización total del equipo al
que ataca).

Fuente: ESET./Diario Ti