La ultima información sobre las infecciones GpCode

Hemos estado investigando la fuente del reciente brote epidémico del virus GpCode, que anda suelto en el sector ruso de Internet.

Nuestra investigación muestra que la expansión del virus ocurrió de la siguiente manera:

Como habíamos pensado, el foco de infección se origina en un envío masivo. El primer mensaje fue enviado el 26 de mayo del 2006, cuando varios miles de usuarios rusos recibieron un correo con este texto:

Hola !

Te escribo con respecto a la solicitud que enviaste al sitio web job.ru. Hay una vacancia perfecta para ti. ADC Marketing LTD (UK) está abriendo una oficina en Moscú y estoy en búsqueda de candidatos apropiados. Pronto te pediré que te presentes a una entrevista personal en el horario que convengamos.

Si te interesa mi oferta, por favor llena el formulario adjunto relacionado a los temas de compensación y envíamelo por correo electrónico.

Atentamente,
Viktor Pavlov
Gerente de Recursos Humanos

El archivo adjunto es un archivo MSword.doc llamado anketa.doc (anketa es la palabra en ruso que significa formulario de aplicación – nota del traductor) De hecho, este archivo contenía el troyano Dropper.MSWord.Tored.a.

Una vez que el destinatario abría el archivo doc, un macro malicioso instalaba otro troyano en el sistema local – Troyan-Downloader.Win32.Small.crb.

Este es el troyano que luego cargaba GpCode en el ordenador local desde un URL – [skip].msk.ru/services.txt.

El autor de GpCode realizó envíos masivos similares durante varios días. También cambió las variantes del GpCode que eran descargados desde este URL.

Kaspersky Lab está en estos momentos trabajando para cerrar este sitio.