Luego de la campaña del gusano Waledac por el día de los enamorados, el mismo logró altos índices de propagación. Finalizando el mes de Febrero, y disminuyendo el número de personas buscando en Internet por el día de San Valentín, los autores del troyano han modificado las técnicas de Ingeniería Social, para seguir infectando a los usuarios.

Utilizando los mismos dominios que hasta hace pocos días mostraban imágenes de corazones, peluches y flores; ahora los usuarios pueden observar una nueva interfaz:

Nuevas técnicas Waledac

Ahora, la técnica para tentar al usuario es el ofrecimiento de "increíbles ofertas" en más de 100.000 tiendas. Para acceder a las supuestas ofertas, el usuario debe hacer solo un clic para descargar el cupón de descuento. También se han modificado los nombres de los archivos de descarga. Hasta el momento, hemos detectado:

  • couponlist.exe
  • coupons.exe
  • disc.exe
  • discounts.exe
  • list.exe
  • nocrisis.exe
  • print.exe
  • run.exe
  • sales.exe
  • save.exe
  • stopcrisis.exe

A pesar de que han variado los nombres, los archivos continúan siendo detectados por la heurística de ESET NOD32 como una variante de Win32/Kryptik.

Aunque ya pasó el día de los enamorados, el usuario debe seguir prevenido. Los atacantes modifican las técnicas con el fin de continuar la propagación del mismo código malicioso, modificado miles de veces.

Actualización 01/04/2009: desde ESET hemos publicado un informe sobre Waledac.

Sebastián