‘RapidBlaster’ es un nuevo programa spyware que se ejecuta en sistemas Windows, recopilando información acerca del usuario, páginas visitadas y búsquedas que realiza y enviando todos estos datos a servidores remotos. Suele instalarse desde páginas pornográficas a través de un control ActiveX. Su difícil eliminación del sistema y su capacidad de morphing hace que los antivirus convencionales no lo detecten fácilmente.

Este spyware se instala vía ActiveX, generalmente desde sitios pornográficos y aprovecha las configuraciones de baja seguridad de Internet Explorer para ejecutarse en segundo plano. Su modus operandi consiste en ejecutarse cuando el sistema se arranca y periódicamente. Mientras está en “acción”, recoge toda la información que pueda interesar a compañías de marketing acerca del pobre usuario y las manda, asociándole un ID único por cliente, a servidores remotos.

Además, este gusano, para evitar ser detectado por software antivirus es capaz de ‘mutar’ (morphing) su aspecto, cambiando aleatoriamente de ubicación y nombre en el sistema local infectado, a discreción del servidor remoto, amén de ejecutar cualquier código según se lo indique también el servidor remoto. Es capaz incluso de duplicarse y “reparar” el registro del sistema para que se vuelva a ejecutar la nueva copia “no detectada” en caso de que se intente eliminar manualmente las claves del registro o el ejecutable.

Otra de las tareas de este spyware es mostrar anuncios en forma de pop-ups cada cierto tiempo, aun sin tener el navegador abierto. Estos anuncios por lo general son de temáticas pornográficas.

RapidBlaster es identificado también como RB32 (rb32.exe es el nombre de su ejecutable), y existen nuevas variantes, denominadas RapidBlaster/v1 (la versión original), RapidBlaster/lp, una actualización con algunas pequeñas diferencias, y finalmente, RapidBlaster/Ainst, el instalador ActiveX, capaz de cargar y ejecutar las dos versiones anteriores (v1 y lp).

Existe una herramienta llamada “RapidBlaster Killer”, específicamente creada para eliminar este spyware, que puede ser descargada del enlace que se da al final. Es una utilidad gratuita, preparada para eliminar correctamente todas las variantes de RapidBlaster, incluida la versión capaz de realizar el “morphing”.

Para más información:

• Herramienta para eliminar el gusano del equipo (28Kb).
• El aviso en VSAntivirus
• La noticia en Weekly Spyware de ExtremeTech
• Rapidblaster, la empresa desarrolladora del software espía. ADVERTENCIA: página que redirige a sites pornográficos, con MS Internet Explorer id con cuidado por si trata de “colar” el gusano.