El gusano Daprosy es un programa informático malicioso que se propaga a través de conexiones de red de área local (LAN), correos electrónicos no deseados y dispositivos de almacenamiento masivo USB . La infección proviene de un único archivo read1st.exe del que se crean varias docenas de clones a la vez que llevan los nombres de las carpetas infectadas. El síntoma más obvio de la infección por Daprosy es la presencia de archivos Classified.exe o Do not open - secrets!.exe en las carpetas infectadas.
Aunque se observó por primera vez a principios de mayo de 2009, [1] el gusano fue anunciado por primera vez al público como el gusano troyano Daprosy [2] por Symantec en julio de 2009 y luego fue identificado como Autorun-AMS, Autorun-AMW y Autorun-APL por Sophos. [3] Adquirió alias adicionales de empresas antivirus y otros lo etiquetan como una encarnación o variación de Autorun.H. [4] [5]
El gusano pertenece a la categoría de correo masivo “lento” en el que se adjuntan copias y se envían a direcciones interceptadas desde el teclado. El correo electrónico consiste en una promoción e instrucciones de instalación de un producto antivirus imaginario que supuestamente elimina infecciones desconocidas del equipo. Si bien la infección no puede ocurrir hasta que se cambie el nombre y se abra el gusano adjunto, podría propagarse a las carpetas del sistema en cuestión de segundos. Se sabe que apaga o bloquea Windows Vista y Windows 7 cuando dichos sistemas operativos rechazan los intentos de escritura en la unidad del sistema . Además, el gusano oculta carpetas y las hace “súper ocultas” para que no se pueda acceder fácilmente a los datos que contienen.
El registro de teclas de precisión es la principal amenaza asociada con la infección de Daprosy. Las pulsaciones de teclas registradas que contienen datos confidenciales podrían enviarse a su autor mediante el sistema de correo improvisado del gusano. Se sabe que las primeras cepas desestabilizan, corrompen e incluso bloquean el sistema operativo debido a errores de programación . Dichas cepas parecen estar incompletas y probablemente fueron creadas por estudiantes o programadores aficionados de Visual Basic , como lo demuestra el uso de descompiladores de VB. Las versiones finales o posteriores del gusano Daprosy son prolíficos ladrones de contraseñas de juegos en línea. También plantean grandes amenazas a los establecimientos bancarios y de comercio electrónico .
El gusano Daprosy está muy extendido en los cibercafés públicos con conexiones LAN y unidades de almacenamiento USB expuestas . Desde octubre de 2009, hay scripts especiales disponibles para eliminarlo de los equipos infectados. Muchos sistemas Windows se bloquearon el pasado 13 de noviembre de 2009. Una investigación inicial apunta a las versiones anteriores del gusano Daprosy, a saber, Sophos Autorun-AMS y Autorun-AMW, que parecen ser malware del tipo "Viernes 13" .
Las variantes más recientes y persistentes del gusano Daprosy aún están en circulación. Una variante notable, Win32/Kashu.B identificada por Ahnlab, puede eliminarse únicamente mediante un CD en vivo. Por lo general, estas variantes del gusano Daprosy están infectadas por virus Sality y suelen tener un tamaño de archivo superior a 100 kilobytes. Ahora parece que el gusano Daprosy es un huésped natural de los virus que infectan archivos, ya que el primero está bien distribuido en todas las unidades. El virus Daprosy existe en muchas variantes que, a su vez, requieren scripts especiales para eliminarse. La eliminación manual de gusanos infectados con virus requiere conocimientos que, por lo general, pertenecen a personas asociadas con empresas de antivirus.
Daprosy está "activo" incluso en modo seguro, lo que dificulta su eliminación manual. Su mecanismo de registro de teclas es tan preciso que captura casi todo lo que se escribe en el teclado. Esto lo convierte en uno de los gusanos más peligrosos de la última década.