La compañía de seguridad informática Kruse advierte contra la actualización falsa, señalando que se trata de un gusano que se propaga enviando un e-mail con el siguiente texto (nota, recomendamos leer este artículo completo antes de visitar el sitio indicado en el mensaje falso):
´Dear Windows User!
New Windows 9x/2000/NT/XP critical patch has been released. Due to security problems, your system needs to be updated as earlier as possible.
You can download an update patch on Windows Update site: http://www.windows-update.com
Best regards, Windows Update Group´
La URL señalada no corresponde al sitio oficial de Microsoft para actualizaciones (www.windowsupdate.com), sino a un sitio que explota una vulnerabilidad de Internet Explorer detectada recientemente.
Al hacer clic en el enlace y llegar al sitio en cuestión, este presenta un archivo HTML que, entre otras cosas, contiene una función de iFrame. El navegador realiza entonces hasta 3.355 intentos por abrir el iFrame, a la vez que ejecuta el archivo update0932.exe. El archivo está empacado con UPX (Ultimate Packer for eXecutables) y contiene un troyano que descarga el archivo svghost.exe desde una máquina con la dirección 38.115.134.3.
Según Kruse, el archivo contiene una puerta trasera del tipo Sdbot, que no puede ser detectado con software antivirus.
Para evitar una infección del sistema, se recomienda, primero que nada, no hacer clic en el enlace contenido en el e-mail falso. Luego, es preciso instalar las actualizaciones de seguridad de Internet Explorer. A los usuarios que tengan un cortafuegos instalado en su PC, se les recomienda bloquear todo acceso a la IP señalada anteriormente.
