En la actualidad, la gripe porcina H1N1 ya ha sido controlada en casi todo el mundo, en estas fechas, ya es algo raro que aun sigan tratando de engañar a la gente con este tipo de trampas.

Mirando en el archivo desde el símbolo del sistema (cmd), que parece un acceso directo inofensivo de 1987 bytes.

Viendo el código, se ve algo sospechoso

Observando las propiedades del archivo (acceso directo) vemos lo siguiente:

Podemos ver que este trata de vincular a %ComSpec%? . No suena muy bien. Copiando y pegando todo el código que se encuentra en la parte de Target podemos analizar lo siguiente:

Como resultado final, al hacer clic en este acceso directo hará que su máquina haga las siguientes cosas:

  1. Conectarse a un sitio ftp llamado www.g03z.com
  2. Registrarse aa33 con nombre de usuario y contraseña bb33
  3. Descargar un script llamado p.vbs
  4. Ejecutar el script

Y nos preguntaremos, ¿quién es propietario de g03z.com?, pues es el Sr. Zzzzggg

El dominio se encuentra de momento en línea, pero el archivo p.vbs no se encuentra alojado en el servidor, por lo que no sucede nada, pero F-Secure se mantiene vivo para una posterior actualización del virus.

Vía | F-secure Blog
Traducción | Por InfoMalwares