El gusano Cholera funciona bajo Windows (incluido NT) y tiene una capacidad de propagación muy veloz a través de redes locales y correo electrónico. A este peligro se une el que representa el virus CTX que porta en su interior.
A través del correo electrónico, Cholera llega al usuario en un mensaje que tiene como asunto un smiley (:)) e incluye el fichero adjunto SETUP.EXE, que aparece con el icono típico de los programas de instalación. Cuando éste fichero se ejecuta, Cholera procede a infectar el ordenador y muestra en pantalla el siguiente mensaje:
Cannot open file: it does not appear to be a valid archive. If you downloaded this file, try downloading the file again.
Simultáneamente, el gusano desencripta las cadenas de texto o constantes que pueden hacer sospechar al usuario que su equipo está siendo infectado.
Después, Cholera chequea los recursos compartidos para averiguar a qué unidades puede acceder y busca el fichero WIN.INI. Cuando lo encuentra, y con el objetivo de garantizar su ejecución la próxima vez que se inicia el sistema, modifica el comando RUN.
Gracias a su compatibilidad con Win32, Cholera se propaga, rápidamente, a través de unidades locales. En concreto, cuando cualquiera de ellas se reinicia, y tras comprobar que el ordenador está conectado a Internet, el gusano procede a difundirse por e-mail. Para enviarse a las distintas direcciones de correo, este gusano extrae, entre otros datos, el nombre de dominio y el de servidor SMTP empleado por Outlook Express.
Tras difundirse por e-mail, Cholera borra todos los elementos que pueden delatar su presencia al usuario. A continuación, entra en acción el virus CTX, cuya encriptación polimórfica dificulta su detección y eliminación. CTX infecta aplicaciones ejecutables del tipo PE (Portable Executable).
Al respecto, la compañía de seguridad informática Panda informa haber incorporado este nuevo gusano a su fichero de firmas de virus a fin de que los usuarios puedan protegerse contra esta amenaza y eliminarla de sus equipos. En un comunicado la compañía recomienda realizar una actualización de su software Panda Antivirus Platinum para hacer efectiva dicha protección.
Además de contar con la protección de Panda Antivirus Platinum para hacer frente a estas amenazas, es aconsejable no ejecutar programas y ficheros de procedencia dudosa e incluso aquellos que viniendo de un remitente conocidono hayan sido solicitados, concluye Panda en su comunicado.
