Un nuevo gusano ha sido reportado masivamente en Europa, y tiene la capacidad de reproducirse por correo electrónico y por recursos compartidos, pero sólo hasta el 31 de Mayo del 2003.

Los primeros reportes de este gusano comenzaron a recibirse el 17 de Mayo por la tarde, provenientes principalmente de Europa del Este. Fue llamado entonces Palyh o Mankx, aunque después de un análisis más detallado, los expertos de los laboratorios antivirus encontraron similitudes con el gusano W32/Sobig, y algunos lo renombraron como W32/Sobig.b, como en el caso de Kaspersky Labs.

El gusano es capaz de reproducirse por correo electrónico en un mensaje que dice provenir de support@microsoft.com, queriendo engañar al usuario para que crea que el remitente es realmente la empresa Microsoft. El mensaje tendrá un asunto aleatorio en inglés, y el cuerpo, en el mismo idioma, contendrá el texto “All information is in the attached file”.

Adjunto al mensaje se encontrará un archivo con extensión PIF, cuyo nombre es generado aleatoriamente de una lista de posibles denominaciones que el gusano contiene. Además, contiene rutinas que le permitirían conectarse a un sitio para bajar actualizaciones de si mismo, lo que le permiten ampliar sus capacidades indefinidamente, siempre y cuando los sitios sigan activos.

Algo curioso del W32/Palyh es que el gusano tiene una rutina de desactivación que se ejecutará el próximo 31 de Mayo. Así, todas las funcionalidades del gusano, excepto la actualización, se ejecutarán por última vez el 30 de Mayo. Una especie de mecanismo de autodestrucción.

En Virus Attack! nuestros usuarios nos han reportado algunos casos del gusano, especialmente de España. De todas formas, el Centro de Alerta Temprana español no reporta una gran cantidad de incidencias, no estando, aún, el W32/Palyh entre los 10 virus más detectados por su sistema.

Otras estadísticas mundiales nos indican incidencias más altas, especialmente en países angloparlantes. Por ejemplo, el proveedor de protección antivirus para correo electrónico MessageLabs ha detectado más de 40,000 muestras hasta el momento de esta publicación, el 71% proveniente del Reino Unido. En el día de hoy es, es el virus más detectado por su servicio de monitoreo antivirus.

Esto se refuerza por las estadísticas provistas por Trend Micro, quien ha detectado más ejemplos en Estados Unidos y el Reino Unido que en el resto de los países. Otros países con un índice notable de reportes serían Hong Kong y Japón.

Como es posible notar, al estar su mensaje de correo electrónico en inglés, el gusano afecta mayormente a aquellos países donde dicho idioma es la lengua nativa, o es muy utilizada en los negocios. En cambio, en los países donde este lenguaje no es tan hablado, los índices de reportes e infecciones son menores, y posiblemente el gusano no alcance niveles epidémicos.

Es importante entonces, para evitar problemas con este gusano, que los usuarios actualicen sus antivirus, y también estén alerta por si reciben un mensaje con las características de este gusano.

Más información

Virus Attack! – Descripción del W32/Palyh
http://virusattack.virusattack.com.ar/base/VerVirus.php3?idvirus=695

Trend Micro – Estadísticas del WORM_PALYH.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_PALYH.A

MessageLabs – Top Threats
http://www.messagelabs.com/viruseye/threats/default.asp