Para empezar, decir que esto no es nada nuevo, pero siempre está bien saber un poco del tema, ¿alguna vez has recibido un mensaje en tu servicio de mensajería instantánea diciéndote que pinches en una dirección URL para ver una imagen o similar?, seguro que sí, si le preguntas a la persona que te lo envió que imagen es esa, te dirá que que le estás diciendo debido a que el virus escribe el mensaje, y el infectado no lo ve, es el mísmo virus que cuando te infecta se distribuirá diciéndole a todos los contactos de la persona que entren en la dirección del virus, y así conseguirá víctimas muy rápidamente.

Bien, hasta aquí lo básico, ahora profundicemos un poco más, en mi caso, cuando me enviaron la dirección URL, la exploré, y me encontré con varios archivos, el virus, y un archivo PHP que a mi parecer pienso que sirve para saber el correo electrónico y la víctima que ha infectado, en mi caso el virus se llama (image_134453.jpg-www.youtube.com), y por lo que vemos se distribuye mediante la extensión .com (binario ejecutable), ahora analicemos un poco donde está alojado el virus, esto aunque parezca que no, es bastante interesante, el virus que cité, está alojado en http://youtubes.t35.com/

Si entramos veremos que aparecen los archivos citados, pero esto ahora mísmo no es lo que buscamos, entremos en http://t35.com

Explorando un poco el sitio Web donde nos ofrecen hospedaje Web gratis, poco conocido y inseguro, sólo tenemos que iniciar sesión en el panel demo y ver que el Web-FTP permite la subida de archivos sin restricción, para el atacante es toda una guinda, puede subir un archivo malicioso (shell), y subir su virus a un hospedaje Web sano como puede ser una Web cualquiera, de esta manera, estaría distribuyendo el virus desde una página Web que no le pertenece, y por lo tanto, mantendría el anonimato, aunque recurriendo un poco, investigarían el servidor y verían el verdadero origen del virus, además de examinar dicho archivo.

El problema que se encuentran las autoridades, es que la mayoría de las veces el que sube el virus a estos servidores de éste modo, suele borrar sus huellas y entonces todo se complica, deciros que por favor, no lo ejecutéis bajo ninguna condición, he enviado la muestra a VirusTotal y muy pocos antivirus lo reconocen,  para los más aventureros que se atrevan a examinar el virus, deciros que está empaquetado con la versión 1.71 de Armadillo.

Los ordenadores que son infectados por este tipo de virus suelen ser usados para ataques de denegación de servicio distribuido, phishing, etc ..

Para concluir, me gustaría deciros que cuando os encontréis con estos casos, tenéis varias opciones, una de ellas es contactar con la empresa que posee el hospedaje Web que aloja el virus, otra, el dueño de la página Web que aloja el virus y así ellos mísmos contactarán con el proveedor, o, a la comisaría más cercana.