En los últimos días hemos detectado un incremento en la distribución de un troyano del tipo Qhost a través de mensajería instantánea.

El mismo envía automáticamente a todos los contactos del usuario del equipo infectado una supuesta imagen (en algunos casos comprimida) con diversos textos:

Win32/Autorun.Qhost.A gusano

Algunos textos por los cuales puede ser identificado son (errores ortográficos incluidos):

  • estara mal que solo me acuerde del sexo y de nada mas?
  • creo que esta foto es la mejor de toda la fiesta
  • te acuerdas del nombre de esta chava que sale conmigo en la foto?
  • te acostate con alguien en año nuevo? por que yo si mira
  • ni me acuerdo de esta persona, solo que desperte alado de el jeje
  • este foto esta super chistosa, la quieres ver?

Se puede observar que los contenidos son diversos y en todos los casos se intenta, con la redacción, simular una relación de confianza con el usuario, factor clave respecto a la Ingeniería Social.

Hemos observado que, aparentemente, el dominio utilizado para la propagación no contiene fines maliciosos, y su servidor ha sido vulnerado a fin de alojar esta amenaza:

Sitio web afectado

Como siempre, les recordamos a los usuarios no abrir archivos cuya procedencia sea sospechosa y, ante la duda, chequear con un antivirus con capacidades proactivas si el archivo es malicioso, antes de ejecutarlo. Si lo hiciera con ESET NOD32, el mismo es detectado como Win32/Autorun.Qhost.A gusano.

Sebastián