Hace unos días os hablábamos de que la presencia de virus VBA había vuelto a ser significativa. Se ha detectado la presencia de un correo spam que utiliza la imagen de las entidades bancarias HSBC y BBVA para alertar al usuario de un movimiento que se ha producido a su favor entre dos cuentas de estas entidades. El documento que debería tener información adicional en realidad posee un virus macro que se ejecuta al abrir el documento .doc.
La estructura que se utiliza en este tipo de correos es siempre la misma o muy similar. En este caso, se hace creer al usuario que ha recibido en su cuenta de HSBC una cantidad procedente de una cuenta del banco BBVA. Sin embargo, el dinero no se encuentra disponible por irregularidades en la cuenta. En el cuerpo del correo electrónico se muestra más información relacionada con la supuesta transferencia, haciendo creer en todo momento gracias al estilo utilizado que se trata de un correo legítimo. Podéis visitar nuestro tutorial sobre cómo bloquear correos no deseados en Gmail.
El código del documento Word se puede visualizar desde esta página.
Descargar un virus e infectar el ordenador del usuario
Tal y como se puede apreciar en el código que se ha adjuntado, se intenta descargar un archivo ejecutable de una ubicación. TROJ_DOCDLOADR.K, que así es como se ha denominado al archivo ejecutable que es descargado, se trata de un malware que infecta archivos legítimos del equipo, modifica la configuración de los navegadores e instala programas adware y spyware en el equipo, incluyendo falsos software antivirus que simulan infecciones, alertando al usuario que es necesario adquirir la versión premium de estos para proceder a su eliminación de forma correcta.
Evidentemente, si se tienen las macros desactivadas la descarga en ningún momento se realizará, pero sí se indicará al usuario que es necesario activar estas para poder visualizar la información del documento al completo.
Mantener las macros desactivadas
Aunque haya gente que las utilice con frecuencia, se recomienda siempre que sea posible mantener estas desactivadas y no descargar nunca documentos de correos cuyo origen sea desconocido. Como se ha podido observar en la imagen anterior, el correo se encuentra en castellano, por lo que en un principio solo está creado para afectar a los usuarios de España y de América Latina.