Tecnología Móvil

17 junio 2007

4° Informe VirusAlerts(Troyanos)

Más Troyanos para el Messenger!!!:

Guadalajara/México (MADRID) 17 de junio de 2007 - El informe de PandaLabs & ArceoLabs de esta semana está protagonizado por el troyano BankFake.F, por las dos primeras variantes del gusano MSNHideOptions y por el también gusano Grogotix.A.

BankFake.F es un peligroso troyano bancario que afecta a nueve entidades financieras. Este malware, que puede distribuirse por correo o a través de descargas de Internet infectadas, llega al ordenador con un icono que representa a dos pequeñas tortugas aladas.

Una vez es ejecutado, este troyano accede a una página web y muestra al usuario una foto para no levantar sospechas. A la vez, se conecta a otras dos direcciones para descargar varios ficheros comprimidos, todos ellos empaquetados con UPX.

Este troyano está diseñado para robar contraseñas bancarias. Su funcionamiento es el siguiente: cuando el usuario teclea en el navegador la dirección de alguna de las entidades online a las que afecta BankFake.F, éste cierra el navegador y ejecuta la aplicación correspondiente a ese banco. Ésta muestra una imagen de la página real del banco y guía al usuario por esa página.

Una vez introducidos los datos, los almacena en ficheros con extensión .bsp o .cop. Periódicamente, establece una conexión ftp para enviar a su creador la información recopilada.

Además de contraseñas bancarias, BankFake.F también está diseñado para robar contraseñas del servicio de correo Hotmail. Para ello, muestra un mensaje de error cuando el usuario intenta conectarse a ese servicio y le pide que vuelva a introducir los datos, aunque, de nuevo, no se trata de una página legal sino de una aplicación del propio troyano.

Grogotix.A es un gusano que crea seis copias de si mismo en el sistema cuando infecta un ordenador. Cada vez que el usuario accede a una carpeta, crea una copia de sí mismo con el nombre de dicha carpeta en el mismo directorio y en el inmediatamente superior. También crea una copia de sí mismo cada vez que se ejecuta un fichero con el mismo nombre que el del original.

Grogotix.A modifica el fichero host, añadiendo un texto con un mensaje en inglés firmado por el supuesto creador del gusano y en el que informa al usuario de que odia su campus. Además, esta modificación impide al usuario acceder a varias páginas web, todas ellas relacionadas con compañías de seguridad. Esta modificación es detectada por Panda Software como troyano Qhost.gen.

Este gusano, además, crea varias entradas en el registro y modifica otras muchas. Una de ellas le permite ejecutarse con cada reinicio del sistema, mientras que otra hace desaparecer varias opciones del menú inicio.

Grogotix.A también está diseñado para impedir la ejecución de varios programas. Además, oculta las carpetas pertenecientes a varias soluciones de seguridad.

Intenta acceder a una red IRC conectándose a diversos servidores. Si lo consigue, utilizará esa conexión para enviar datos sobre el ordenador infectado a su creador. Además, enviará mensajes privados aleatoriamente a los usuarios de esa red con distintos textos y un enlace para descargar el malware. Algunos de esos textos son:

- $nick, free picture indonesia sex double klik url:
- aloo $nick mo liat artis majalah playboy indo?, double klik url:
- Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url:
- 8 aloo $nick mo liat artis-artis indonesia nude, double klik url:

Pero las acciones maliciosas de Grogotix.A no acaban aquí. Este ejemplar también suelta una página web en el sistema con un nombre aleatorio de cinco caracteres e intenta descargar, mediante un script, un fichero malicioso.

PandaLabs & ArceoLabs también ha localizado esta semana las variantes A y B del gusano MSNHideOptions. Aunque si el anterior estaba diseñado para pasar lo más desapercibido posible, a éstos lo que les gusta es dejarse ver. Por ello, una vez han sido ejecutados en un ordenador, muestra un par de mensajes a los usuarios. Uno de ellos, además, es un insulto.

Otras acciones maliciosas llevadas a cabo por estos gusanos son la creación de un archivo, llamado “Mis Contactos”, en el que guardan todas las direcciones de remitentes que el usuario tenga configuradas en su gestor de correo. Además, ocultan diversas aplicaciones de la barra de Inicio de Windows como Ejecutar, Búsqueda, ayuda, etc.

Estas dos variantes de MSNHideOptions se propagan por correo electrónico o a través del sistema de mensajería instantánea MSN Messenger. Lo hacen enviando un mensaje a los contactos de la persona infectada en la que se les incita a acceder a un determinado link que, se supone, contiene fotos de una persona.

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de Panda Software (http://www.pandasoftware.es/virus_info/enciclopedia/)

Los usuarios que deseen comprobar si algún código malicioso ha atacado su ordenador pueden utilizar, de manera completamente gratuita, las soluciones online TotalScan o NanoScan beta, que se encuentran disponibles en la dirección www.infectedornot.com

Publicadas por Hack//Team® a la/s 4:07:00 p.m.

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)
Creative Commons License
Hack//Crack® Se licencia Bajo Hack//Magazine®.