No es extraño que algunos malwares se copien en las carpetas compartidas de los programas P2P, de esta forma logran propagarse e infectar a más usuarios que descargan los archivos pensando que son aplicaciones reales.
Una ingeniosa variante de este comportamiento la tiene el gusano W32.Changeup, el programa no busca carpetas de aplicaciones P2P sino que directamente instala el eMule y lo ejecuta en silencio para compartir copias de sí mismo.
En la captura se pueden apreciar los archivos creados, más de 49 mil copias que ocupan 950 MB de espacio. Tienen nombres diferentes que se generan automáticamente y coinciden con algunas de las aplicaciones más buscadas por los usuarios.
Los archivos .zip contienen un ejecutable que simula ser un archivo de instalación normal, en realidad se trata del gusano W32.Changeup:
Una forma sencilla de detectar estos engaños es observar el tamaño de los archivos, generalmente son pequeños ya que su función consiste en conectarse a servidores remotos y descargar otros archivos y malwares. Sin embargo nunca es recomendado descargar programas por medio de las redes P2P ni fuentes desconocidas, aunque parezcan legítimos, podrían estar modificados internamente con códigos maliciosos.
Como se puede ver, la imaginación de los ciberdelincuentes para infectar equipos y controlarlos no tiene límites. Si eres usuario de programas P2P, sería bueno que verificaras los archivos que estás compartiendo y mucho cuidado con lo que descargas!
En el blog de Symantec hay más información sobre W32.Changeup.